Google på mandag indsendt til Internettet en tidligere unpublicized fejl, der kunne udgøre en sikkerhedsrisiko for brugerne af Microsoft Windows-operativsystemet.
Google meddelt, at både Microsoft og Adobe af zero-day sårbarheder i deres software på Okt. 21, skrev Neel Mehta og Billy Leonard, der er medlemmer af Googles Trussel Analyse Gruppen, i et online-indlæg.
Google har en politik om at gøre kritiske sårbarheder offentlige syv dage efter det oplyser en software maker om dem. Adobe var i stand til at løse sin sårbarhed inden for syv dage, var Microsoft ikke.
“Dette [Windows] sårbarhed er særlig alvorlig, fordi vi ved, det bliver aktivt udnyttet,” skrev Mehta og Leonard.
Men Google ‘ s Chrome browser forhindrer udnyttelse af sårbarheden, når du kører i Windows-10, de har tilføjet.
Fejl, Ikke Kritisk
Microsoft udfordret Google ‘ s analyse af den Windows-fejl i en erklæring, forudsat at TechNewsWorld af talsmand Charlotte Heesacker.
“Vi er uenige med Google’ s karakterisering af en lokal udvidelse af rettigheder som ‘kritisk’ og ‘særligt alvorlige, da de angreb scenario, de beskriver, er fuldt mindskes ved installation af Adobe Flash-opdatering frigivet i sidste uge,” siger Microsoft.
Efter at knække et system, hackere typisk forsøger at forøge deres privilegier i det for at få adgang til stadig mere følsomme data.
“Derudover er vores analyse viser, at dette specifikke angreb var aldrig effektiv mod de Windows-10 års Jubilæum-Opdatering på grund af sikkerhed ekstraudstyr, der er tidligere gennemført,” Microsoft er angivet.
Windows sårbarhed Google ‘ s team har opdaget, er en lokal rettighedsforøgelse i Windows kerne, som kan anvendes som sikkerhed sandkasse flygte udløses af en win32k.sys opkald, efter at Mehta og Leonard.
Sandkassen i Google ‘ s Chrome browser blokerer win32k.sys opkald ved hjælp af det Win32k lockdown afbødning på Windows-10, som forhindrer udnyttelse af sandkassen undslippe sårbarhed, de forklarede i deres indlæg.
Kort Deadline
Selvom Google kontrast Adobe er hurtig indsats med at lappe sine zero-day sårbarhed med Microsoft ‘ s passivitet, sammenligning kan være mindre end fair.
“Det tid til at lappe kode i Adobe Reader eller Flash-mod noget, der integrerer ind i et operativsystem, der er væsentligt anderledes,” siger Brian Martin, direktør for sårbarhed intelligens på
Risiko-Baseret Sikkerhed.
Det, der tager tid, er ikke så meget at ændre den kode, som test af det, når det er ændret, forklarede han.
“Hvis Microsoft lapper kode i en version af Windows, vil det sandsynligvis påvirke flere andre versioner,” Martin fortalte TechNewsWorld.
“Så de har en platform spørgsmål — 32-bit og 64-bit — og så er de forskellige versioner — home, professional, server, uanset hvad,” påpegede han.
“Mængden af tid, det tager at lappe det er én ting,” sagde han. “Den mængde af tid til at gå gennem hele QA cyklus er en anden. Syv dage er generelt anses for urealistisk for et operativsystem.”
Til at Videregive eller Ikke
Den korte tidsfrist var nødvendigt, fordi det så sårbarheden bliver udnyttet af hackere, Google ‘ s team opretholdes. Denne logik, men kan være et tveægget sværd.
“For mig er, at dette ikke i sidste ende bidrage til at nå alle mål, der skal holde forbrugere og deres data sikkert,” sagde Udi Yavo, CTO i
enSilo.
“Ved at afsløre en svaghed for tidligt, uden at give tid til en patch, Google åbnede den lille pulje af mennesker, der har fundet den sårbarhed og forstod at udnytte det, at alle,” fortalte han TechNewsWorld.
Men holder den sårbarhed under wraps overhovedet er tvivlsomt, foreslog Jim McGregor, ledende analytiker hos Tirias Forskning.
“I betragtning af, hvor tæt en hacker-samfundet kommunikerer, syv dage må have været for meget tid,” fortalte han TechNewsWorld.
“Google var ved at blive en venlig samfundsborger ved at lade Microsoft vide, om sårbarhed, men i mit sind, at det ville have været mere passende at gøre det til offentlighedens kendskab, når du ser det i naturen,” McGregor sagde.
“En sårbarhed kan sprede sig selv hacker-samfundet i millisekunder,” bemærkede han. “Ved ikke at gøre sårbarhed offentlige, de eneste mennesker, der ikke ved, om det er de folk, der burde vide det.”
