„Google“ grėsmių analizės grupė neseniai atrado žalingų „Adobe Flash“ ir „Microsoft Windows“ branduolio spragų, kurios buvo aktyviai naudojamos kenkėjiškų programų atakoms prieš „Chrome“ naršyklę, rinkinį. Praėjus 10 dienų nuo „Microsoft“ atskleidimo spalio 21 d., „Google“ viešai paskelbė apie „Windows“ saugumo trūkumą. „Google“ taip pat atkreipė dėmesį į tai, kad užpuolikai ir koderiai gali šią agresiją panaudoti siekdami pakenkti „Windows“ sistemų saugumui, įgydami administratoriaus lygio prieigą prie „ kompiuteriai, kuriuose naudojama kenkėjiška programa.

Tai galima pasiekti leidžiant ne tik sąžiningiems kūrėjams pabėgti nuo „Windows“ smėlio dėžės, kuri vykdo tik vartotojo lygio programas, nereikalaudama administratoriaus prieigos. Šiek tiek gilinantis į techninius dalykus, „Win32k.sys“ - seną palaikymo „Windows“ sistemos biblioteką, naudojamą daugiausia grafikai, yra paskelbtas specialus kvietimas, suteikiantis visišką prieigą prie „Windows“ aplinkos. „Google Chrome“ jau turi tokio tipo trūkumų gynybos mechanizmą ir blokuoja šią „Windows 10“ ataką, naudodamas „Chromium“ smėlio dėžės modifikaciją, vadinamą „Win32k lockdown“.

„Google“ apibūdino šią „Windows“ pažeidžiamumą taip:

„Windows pažeidžiamumas yra vietinis privilegijuotas eskalavimas Windows branduolyje, kuris gali būti naudojamas kaip saugos smėlio dėžės pabėgimas. Tai gali būti suaktyvintas per sistemos Win32k.sys skambutį NtSetWindowLongPtr () indeksui GWLP_ID ant lango rankenos, kurios GWL_STYLE nustatyta kaip WS_CHILD. „Chrome“ smėlio dėžė blokuoja sistemos „Win32k.sys“ skambučius, naudodama „Win32k“ užrakto sušvelninimą „Windows 10“, kuris neleidžia išnaudoti šios smėlio dėžės pažeidžiamumo. “

Nors tai nėra pirmas „Google“ susidūrimas su „Windows“ saugumo klaida, jie paskelbė viešą pareiškimą dėl pažeidžiamumo ir vėliau buvo nubaustas „Microsoft“ už viešą užrašo paskelbimą prieš oficialų septynių dienų limitą, kuris programinės įrangos gamintojams suteikiamas norint ištaisyti pataisą.

„Po 7 dienų, laikydamiesi mūsų paskelbtos aktyvios kritinių pažeidžiamumų politikos, šiandien atskleidžiame, kad yra išlikęs kritinis Windows pažeidžiamumas, apie kurį dar nebuvo paskelbta jokių patarimų ar pataisų“, - rašė Neel Mehta ir Billy Leonard iš „Google“ grėsmės analizės. Grupė. „Šis pažeidžiamumas yra ypač rimtas, nes mes žinome, kad jis yra aktyviai išnaudojamas“.

Nulinės dienos pažeidžiamumas yra vartotojams viešai paskelbta saugumo spraga. Dabar, kai praėjo septynių dienų laikotarpis, vis dar nėra taisymo pataisų, susijusių su šia „Microsoft“ klaida.

„Flash“ pažeidžiamumas (taip pat atskleistas spalio 21 d.), Kurį „Google“ pasidalino su „Adobe“, buvo pataisytas spalio 26 d. Taigi vartotojai gali tiesiog atnaujinti į naujausią „Flash“ versiją. Bet tada dar kartą „Microsoft“ aktyviai pabrėžė, kad paprastam žiniatinklio papildiniui, pavyzdžiui, „Flash“, pataisos išleidimas per septynias dienas nėra sudėtingas uždavinys, tačiau tokiai sudėtingai OS kaip „Windows“ yra beveik neįmanoma koduoti, išbandyti ir išduoti. per savaitę užtaisytas saugumo trūkumas.

Ne tik „Microsoft“, bet ir daugelis kitų pagrindinių programinės įrangos subjektų aktyviai priešinosi šiai prieštaringai vertinamai „Google“ politikai atskleisti trūkumus per savaitę, tačiau „Google“ laikėsi nuomonės, kad visuomenės saugumui saugiau kurti informuotumą apie nuolatinę klaidą, kuri gali pakenkti vartotojų saugumui.