Michael Cain
0 
3568
635
Firma Google ujawniła lukę zero-day w systemie Windows, która jest obecnie niezałatana i jest aktywnie wykorzystywana na wolności. Daleko jest do stwierdzenia, że Microsoft nie jest zbyt zadowolony z tej sytuacji, twierdząc, że działa Google “naraża klientów na potencjalne ryzyko”.
Na początku października Google odkryło poważne luki w zabezpieczeniach systemu Windows i Flash. 21 października Google poinformowało Microsoft i Adobe o krytycznych problemach z zabezpieczeniami 5 sposobów ochrony przed atakiem zero dni 5 sposobów ochrony siebie przed atakami zero zero Dzień, luki w oprogramowaniu, które były wcześniej wykorzystywane przez hakerów łatka staje się dostępna, stanowi prawdziwe zagrożenie dla danych i prywatności. Oto, w jaki sposób możesz trzymać hakerów na dystans. w obu produktach. 26 października Adobe zaktualizowało Flasha, aby rozwiązać problem. Ale Microsoft nadal nie naprawił problemu czającego się w jądrze systemu Windows.
Mimo to Google ujawnił szczegóły tych luk w poście opublikowanym na blogu Google Security w dniu 31 października. Jest to zgodne z polityką firmy dotyczącą publicznego ujawnienia takich problemów po upływie siedmiu dni od poinformowania sprzedawcy o produktach, których dotyczy problem..
Microsoft się denerwuje z Google
Google opisuje lukę w systemie Windows w następujący sposób:
“Luka w systemie Windows to lokalne zwiększenie uprawnień w jądrze systemu Windows, które można wykorzystać jako ucieczkę z piaskownicy zabezpieczeń. Można go uruchomić za pomocą wywołania systemowego win32k.sys NtSetWindowLongPtr () dla indeksu GWLP_ID na uchwycie okna z GWL_STYLE ustawionym na WS_CHILD. Piaskownica Chrome blokuje wywołania systemowe win32k.sys za pomocą ograniczenia blokady Win32k w systemie Windows 10, co zapobiega wykorzystaniu luki w zabezpieczeniach związanej z ucieczką piaskownicy.”
Które prawdopodobnie oferują wystarczającą ilość informacji dla hakerów, aby dowiedzieć się, jak wykorzystać tę lukę na swoją korzyść. To oczywiście zdenerwowało Microsoft, który powiedział VentureBeat:
“Wierzymy w skoordynowane ujawnianie słabych punktów, a dzisiejsze ujawnienie przez Google stanowi potencjalne ryzyko dla klientów. Windows jest jedyną platformą z zobowiązaniem klienta do zbadania zgłoszonych problemów bezpieczeństwa i proaktywnej aktualizacji urządzeń, których dotyczy problem, tak szybko jak to możliwe. Zalecamy klientom korzystanie z systemu Windows 10 i przeglądarki Microsoft Edge w celu zapewnienia najlepszej ochrony.”
To jest złe dla wszystkich zaangażowanych
Adobe był w stanie szybko naprawić tę lukę, ale wtedy o wiele łatwiej jest łatać Flash niż łatać Windows. Microsoft może więc mieć uzasadniony argument, że takie szybkie publiczne ujawnienie jest złe dla wszystkich zaangażowanych. To nie dotyczy przestępców próbujących wykorzystać luki bezpieczeństwa.
Należy zauważyć, że do skorzystania z luki w systemie Windows wymagana jest luka Flash. Przynajmniej w obecnej formie. Tak więc, o ile masz pewność, że masz najnowszą wersję Adobe Flash Dlaczego Flash musi umrzeć (i jak się go pozbyć) Dlaczego Flash musi umrzeć (i jak się go pozbyć) Relacje internetowe z Flash był przez jakiś czas kamienisty. Kiedyś był to uniwersalny standard w sieci. Teraz wygląda na to, że może być skierowany do bloku do krojenia. Co się zmieniło? , na razie powinieneś być bezpieczny. Jednak Microsoft nadal musi załatać lukę w systemie Windows wcześniej niż później.
Czy Google postąpił słusznie, ujawniając tę lukę tak szybko? Czy Microsoft ma uzasadniony argument, że siedem dni nie wystarcza na załatanie takich problemów? Czy sprawdziłeś, czy Adobe Flash jest aktualny? Daj nam znać w komentarzach poniżej!
Źródło zdjęcia: Pirátská Strana via Flickr