Google på måndag publiceras på Internet en tidigare unpublicized fel som kan utgöra ett hot mot säkerheten för användare av Microsoft Windows operativsystem.
Google anmält både Microsoft och Adobe zero-day sårbarheter i sina program på Okt. 21, skrev Neel Mehta och Billy Leonard, medlemmar av Googles Hot Analys-Gruppen, i ett online-inlägg.
Google har en politik för att göra kritiska sårbarheter allmänheten sju dagar efter det att den informerar en programvara tekokare om dem. Adobe kunde fixa sin sårbarhet inom sju dagar, att Microsoft inte var.
“Detta [Windows] sårbarheten är särskilt allvarligt, eftersom vi vet att det är aktivt utnyttjas,” skrev Mehta och Leonard.
Men, Google Chrome webbläsare förhindrar utnyttjande av sårbarheten när man kör i Windows 10, tillade de.
Felet Inte Kritisk
Microsoft utmanas Googles analys av Windows fel i ett uttalande att TechNewsWorld av talesperson Charlotte Heesacker.
“Vi håller inte med Google karakterisering av en lokal behörighetshöjning som “kritisk” och ” särskilt allvarligt, eftersom attacken scenario som de beskriver är helt mildras genom utbyggnaden av Adobe Flash uppdatering som släpptes i förra veckan,” sade Microsoft.
Efter knäcka ett system, hackare normalt försöker höja sina privilegier i den för att få tillgång till allt mer känsliga data.
“Dessutom, vår analys pekar på att just den här attacken var aldrig effektivt mot Fönstren 10-Årsjubileum Uppdatering på grund av att förbättringar av säkerhet, som tidigare genomfört,” Microsoft noteras.
Windows sårbarhet i Googles team upptäckte är en lokal utökning av privilegier i Windows kernel som kan användas som säkerhet sandlåda fly utlöses av en win32k.sys samtal enligt Mehta och Leonard.
Sandlådan i Google Chrome webbläsare block win32k.sys samtal med Win32k lockdown begränsning på Windows-10, som förhindrar exploatering av sandlådan fly sårbarhet, de förklarade i sina inlägg.
Kort Tidsfrist
Även om Google kontrast Adobes snabba åtgärder för att lappa sina noll-dag sårbarhet i Microsoft ‘ s passivitet, jämförelsen kan vara mindre än det verkliga.
“Tid att lappa kod i Adobe Reader eller Flash kontra något som integreras i ett operativsystem är betydligt annorlunda”, sade Brian Martin, chef för sårbarhet intelligens på
Risk Based Security.
Vad som tar tid är inte så mycket att ändra koden så att testa den när den har ändrats, förklarade han.
“Om Microsoft patchar kod i en version av Windows, kommer det sannolikt att påverka flera andra versioner,” Martin berättade TechNewsWorld.
“Då de har en plattform frågor — 32-bitars och 64-bitars — och sedan olika versioner — home, professional, server, oavsett”, påpekade han.
“Den tid det tar att lappa det är en sak,” sade han. “Tid att gå igenom hela QA-cykeln är en annan. Sju dagar i allmänhet anses vara orealistiskt för ett operativsystem.”
Att Lämna ut eller Inte
Den korta tidsfristen var nödvändigt eftersom det såg sårbarhet utnyttjas av hackare, Googles team upprätthålls. Den logiken, men kan vara ett tveeggat svärd.
“Till mig, inte detta i slutändan bidra till att uppnå alla mål, som ska hålla konsumenterna och deras data är säkra,” sade Udi Yavo, CTO på
enSilo.
“Med hjälp av en sårbarhet i början, utan att ge tid för en patch, Google öppnade upp den lilla gruppen av människor som hittat sårbarhet och visste hur man utnyttja det till alla”, sa han till TechNewsWorld.
Men att hålla sårbarhet under wraps alls är tveksamt, föreslog Jim McGregor, chefsanalytiker på Tirias Forskning.
“Med tanke på hur nära hacker community kommunicerar, sju dagar kan ha blivit för mycket tid”, sa han till TechNewsWorld.
“Google var vänlig samhällsmedborgare genom att låta Microsoft vet om sårbarhet, men i mitt sinne att det skulle ha varit mer lämpligt att göra det allmänt känt när du ser det i det vilda,” McGregor sade.
“En sårbarhet som kan sprida sig om hackare gemenskapen i millisekunder,” påpekade han. “Genom att inte göra sårbarhet allmänheten, de enda människor som inte vet om det är personer som vet om det.”
