Google på mandag lagt ut på Internett en tidligere unpublicized feil som kan utgjøre en sikkerhetstrussel for brukere av Microsoft Windows-operativsystemet.
Google varslet både Microsoft og Adobe, og av zero day sårbarheter i deres programvare på Okt. 21, skrev Neel Mehta og Billy Leonard, medlemmer av Google Trussel Analyse-Gruppen i en online-post.
Google har en policy om å gjøre kritiske sårbarheter offentlig syv dager etter det opplyser en programvare maker om dem. Adobe var i stand til å løse sin sårbarhet innen syv dager, Microsoft ikke var.
“Dette [Windows] sårbarhet er spesielt alvorlig fordi vi vet at det blir aktivt utnyttet,” skrev Mehta og Leonard.
Men Google Chrome nettleser hindrer utnyttelse av sårbarheten når du kjører i Windows-10, de har lagt til.
Feilen Ikke Er Kritisk
Microsoft utfordret Googles analyse av Windows feil i en uttalelse gitt til TechNewsWorld av talsperson Charlotte Heesacker.
“Vi er uenige med Google karakterisering av en lokal heving av tilgangsnivå som “kritisk” og ” særlig alvorlige,’ siden angrepet scenariet beskriver de er fullt ut motvirkes av distribusjonen av Adobe Flash-oppdatering sluppet i forrige uke,” Microsoft sa.
Etter sprengning et system, hackere vanligvis prøver å heve sine privilegier i det å få tilgang til mer og mer sensitive data.
“I tillegg, vår analyse viser at dette angrepet var aldri effektiv mot Windows-10-Årsjubileum Oppdatering av sikkerhetsmessige forbedringer som tidligere er gjennomført,” Microsoft bemerket.
Windows-sårbarhet Google ‘ s team oppdaget en lokal privilegieopptrapping i Windows-kjernen, som kan brukes som en sikkerhet sandkasse flykte utløst av en win32k.sys samtale, i henhold til Mehta og Leonard.
Sandkassen i Google Chrome-nettleseren blokkerer win32k.sys anrop ved hjelp av Win32k lockdown klimatiltak på Windows-10, som hindrer utnyttelse av sandkassen flykte sårbarhet, de forklarte i sitt innlegg.
Kort Frist
Selv om Google kontrasteres Adobes rask handling for å sy sine zero day-sårbarheten med Microsofts passivitet, sammenligningen kan være mindre enn rettferdig.
“Det tid for å oppdatere koden i Adobe Reader eller en Flash-versus noe som integreres i et operativsystem er betydelig annerledes,” sa Brian Martin, direktør for sårbarhet intelligens
Risiko Basert Sikkerhet.
Det som tar tid er ikke så mye å endre koden som å teste den etter at den er endret, forklarte han.
“Hvis Microsoft patcher, kode i én versjon av Windows, vil det trolig påvirke flere andre versjoner,” Martin fortalte TechNewsWorld.
“Da har de plattform problemer — 32-bit og 64-bit — og deretter de ulike versjonene — home, professional, server, hva som helst,” påpekte han.
“Den tiden det tar å lappe det er én ting,” sa han. “Mengden av tid til å gå gjennom hele QA-syklus er en annen. Syv dager er generelt ansett som urealistisk for et operativsystem.”
Å Utlevere eller Ikke
Den korte fristen var nødvendig fordi det så sårbarhet blir utnyttet av hackere, Google ‘ s team vedlikeholdt. Det logikk, men kan være et tveegget sverd.
“For meg er dette ikke til syvende og sist bidrar til å nå alle mål, som bør være å holde forbrukerne og deres data er trygg,” sa Udi Yavo, CTO i
enSilo.
“Ved å avsløre et sikkerhetsproblem tidlig, uten at man har tid for en oppdatering, Google åpnet liten gruppe mennesker som har funnet sårbarhet og visste å utnytte det, til alle,” sa han TechNewsWorld.
Men, holde sårbarhet under wraps i det hele tatt er tvilsom, foreslo Jim McGregor, rektor analytiker ved Tirias Forskning.
“Tatt i betraktning hvor nært hacker fellesskap kommuniserer, sju dager kan ha vært for mye tid,” sa han til TechNewsWorld.
“Google ble en vennlig samfunnsaktør ved å la Microsoft vet om sårbarheten, men i mitt sinn om det ville vært mer hensiktsmessig å gjøre det offentlig kjent når du ser det i naturen,” McGregor sa.
“Et sikkerhetsproblem kan spre seg om hacker samfunnet i millisekunder,” han sa. “Ved å ikke gjøre sårbarheten offentlig, bare folk som ikke vet om det er folk som burde vite om det.”
