Friendoffriends
Skupina pro analýzu hrozeb společnosti Google nedávno odhalila sadu škodlivých chyb v prostředí Adobe Flash a jádru systému Microsoft Windows, které se aktivně používají k útokům malwaru na prohlížeč Chrome. Google veřejně oznámil bezpečnostní chybu v systému Windows pouhých 10 dní poté, co ji oznámil společnosti Microsoft 21. října. Google také poukázal na to, že tato chyba by mohla být agresivně využívána útočníky a kodéry ke kompromisu zabezpečení v systémech Windows získáním přístupu na úrovni správce počítače využívající malware.
Toho lze dosáhnout tím, že umožníme méně než čestným vývojářům uniknout z izolovaného prostoru zabezpečení systému Windows, který spouští pouze aplikace na úrovni uživatele, aniž by potřeboval přístup správce. Ponoříme-li se trochu hlouběji do technických podrobností, vydáme win32k.sys, starší knihovnu systému Windows, která se používá hlavně pro grafiku, specifické volání, které poskytuje plný přístup k prostředí Windows. Google Chrome již má pro tento druh chyby zaveden obranný mechanismus a blokuje tento útok na Windows 10 pomocí úpravy pískoviště Chromium s názvem „Uzamčení Win32k“.
Google popsal tuto konkrétní chybu zabezpečení systému Windows následovně:
"Zranitelnost systému Windows je lokální eskalace oprávnění v jádru systému Windows, kterou lze použít jako únik z karantény zabezpečení." Může být spuštěno prostřednictvím systémového volání win32k.sys NtSetWindowLongPtr () pro index GWLP_ID na popisovač okna s GWL_STYLE nastaveným na WS_CHILD. Sandbox prohlížeče Chrome blokuje systémová volání win32k.sys pomocí zmírnění uzamčení Win32k v systému Windows 10, což zabraňuje zneužití této chyby zabezpečení v sandboxu. “
Ačkoli se nejedná o první setkání Google s bezpečnostní chybou Windows, vydali veřejné prohlášení týkající se zranitelnosti a později byl napaden mým Microsoftem za vydání veřejné poznámky před oficiálním sedmidenním limitem, který je výrobcům softwaru poskytnut k vydání opravy.
„Po 7 dnech na základě našich zveřejněných zásad pro aktivně využívané kritické chyby zabezpečení dnes zveřejňujeme existenci zbývající kritické chyby zabezpečení ve Windows, pro kterou dosud nebyly vydány žádné rady ani opravy,“ napsali Neel Mehta a Billy Leonard z Analýzy hrozeb Google Skupina. “Tato chyba zabezpečení je obzvláště závažná, protože víme, že je aktivně využívána.“
Zranitelnost nulového dne je veřejně odhalená bezpečnostní chyba, která je pro uživatele nová. A teď, když uplynulo sedmidenní časové období, stále není k dispozici žádná oprava opravy týkající se této chyby od společnosti Microsoft.
Chyba zabezpečení Flash (zveřejněná také 21. října), kterou Google sdílel s Adobe, byla opravena 26. října. Uživatelé tedy mohou jednoduše aktualizovat na nejnovější verzi Flash. Microsoft však znovu aktivně poukázal na to, že u jednoduchého webového pluginu, jako je Flash, není vydání opravy do sedmi dnů náročným cílem, ale pro komplexní operační systém, jako je Windows, je téměř nemožné kódovat, testovat a vydávat opravu chyby zabezpečení do týdne.
Nejen Microsoft, ale i mnoho dalších významných softwarových subjektů se aktivně postavilo proti této kontroverzní politice společnosti Google ohledně odhalení nedostatků v rámci týdenního limitu, ale Google tvrdí, že pro veřejnou bezpečnost je bezpečnější vytvářet povědomí o přetrvávající chybě, která může ohrozit bezpečnost uživatelů.
- bezpečnostní
