Googlen uhkaanalyysiryhmä on äskettäin paljastanut joukon haitallisia haavoittuvuuksia Adobe Flashissa ja Microsoft Windows-ytimessä, joita käytettiin aktiivisesti haittaohjelmahyökkäyksissä Chrome-selainta vastaan. Google on julkisesti ilmoittanut Windowsin tietoturvavirheestä vain 10 päivää sen jälkeen, kun se on paljastanut sen Microsoftille 21. lokakuuta. Google huomautti myös, että hyökkääjät ja kooderit voivat käyttää tätä virhettä aggressiivisesti vaarantaa Windows-järjestelmien turvallisuuden hankkimalla järjestelmänvalvojan tason käyttöoikeuden tietokoneet, jotka käyttävät haittaohjelmia.

Tämä voidaan saavuttaa antamalla vähemmän rehellisille kehittäjille mahdollisuuden paeta Windowsin tietoturvahiekasta, joka suorittaa vain käyttäjätason sovelluksia ilman järjestelmänvalvojan oikeuksia. Suihkuttaen hieman teknisiin näkökohtiin, Win32k.sys, vanha Windows-järjestelmäkirjasto, jota käytetään pääasiassa grafiikkaan, julkaisee erityisen puhelun, joka antaa täyden pääsyn Windows-ympäristöön. Google Chromella on jo olemassa puolustusmekanismi tällaiselle virheelle ja estää tämän hyökkäyksen Windows 10: lle käyttämällä Chromium-hiekkalaatikon muutosta nimeltään “Win32k lockdown”.

Google kuvasi tätä Windows-haavoittuvuutta seuraavasti:

”Windows-haavoittuvuus on Windows-ytimen paikallinen etuoikeuksien eskalaatio, jota voidaan käyttää suojaushiekkalaatikon poistona. Se voidaan laukaista Win32k.sys-järjestelmän puhelun NtSetWindowLongPtr () avulla hakemistolle GWLP_ID ikkunan kahvassa, jonka GWL_STYLE on asetettu arvoon WS_CHILD. Chromen hiekkalaatikko estää Win32k.sys-järjestelmän puhelut käyttämällä Win32k-lukituksen lieventämistä Windows 10: llä, joka estää tämän hiekkalaatikon pakoheikkouden hyödyntämisen."

Vaikka tämä ei ole Googlen ensimmäinen kohtaus Windowsin tietoturvavirheeseen, he julkaisivat julkisen lausunnon haavoittuvuudesta ja myöhemmin syyttivät Microsoftini julkisen huomautuksen julkaisemiseen ennen virallista seitsemän päivän rajoitusta, joka ohjelmistojen valmistajille myönnetään korjauksen myöntämiseksi.

"Seitsemän päivän kuluttua julkistettua kriittisten haavoittuvuuksien aktiivista hyväksikäyttöä koskevasta politiikastamme paljastamme tänään Windowsin jäljellä olevan kriittisen haavoittuvuuden, jolle ei ole vielä julkaistu neuvoja tai korjauksia", kirjoitti Neel Mehta ja Billy Leonard Googlen uhkaanalyysistä. Ryhmä. "Tämä haavoittuvuus on erityisen vakava, koska tiedämme, että sitä käytetään aktiivisesti hyväksi."

Nollapäivän haavoittuvuus on julkisesti julkistettu tietoturvavirhe käyttäjille. Ja nyt, kun seitsemän päivän aikajakso on kulunut, Microsoftin tälle virheelle ei ole vielä saatavilla korjaustiedostoa.

Flashin haavoittuvuus (myös julkistettu 21. lokakuuta), jonka Google jakoi Adoben kanssa, korjattiin 26. lokakuuta. Joten käyttäjät voivat päivittää vain uusimpaan Flash-versioon. Mutta sitten taas, Microsoft on aktiivisesti huomauttanut, että sellaiselle yksinkertaiselle verkkopistokkeelle, kuten Flash, korjaustiedoston myöntäminen seitsemän päivän sisällä ei ole haastava tavoite, mutta Windows-kaltaiselle monimutkaiselle käyttöjärjestelmälle on lähes mahdotonta koodata, testata ja julkaista laastari turvallisuusvirheelle viikon sisällä.

Ei vain Microsoft, mutta monet muut suuret ohjelmistoyksiköt ovatkin aktiivisesti vastustaneet tätä kiistanalaista Google-käytäntöä paljastaa puutteita viikon sisällä, mutta Google on väittänyt, että julkisen turvallisuuden kannalta on turvallisempaa luoda tietoisuus jatkuvasta virheestä, joka saattaa vaarantaa käyttäjien turvallisuuden.