Google löysi ja auttoi korjaamaan muutamia virheitä viimeisen parin kuukauden aikana, etenkin Microsoft Edge ja Windows 10: ssä. Teknologian jättiläinen paljasti ”keskipitkän” tietoturvaongelman järjestelmissä, joissa käyttäjätilakoodien eheys (UMCI) on käytössä. Windows 10 S oli käyttöjärjestelmä, jota käytettiin esimerkkinä, koska sen käytäntö on oletuksena käytössä.

Windows 10 S on suojattu käyttöjärjestelmä uudesta löytöstä huolimatta

Windows 10 S on erittäin turvattu käyttöjärjestelmä, mutta sillä on oma osuutensa rajoituksista, mukaan lukien se, että et voi käyttää Win32-sovelluksia siinä. Google Project Zero -tiimi löysi käyttöjärjestelmässä vian, joka sallii mielivaltaisen koodin laajennuksen järjestelmässä, jossa UMCI on käytössä. Windows 10 S: ssä Device Guard on oletuksena käytössä.

Haavoittuvuus koskee vain järjestelmiä, joissa laitteen suojaus on käytössä, ja virhettä ei voida hyödyntää muista järjestelmistä etäyhteyden kautta. Jotta tämä voidaan tehdä, hyökkääjällä on oltava järjestelmässä jo käynnissä oleva koodi, jotta rekisterimerkintöjä voidaan muuttaa. Tämä vähentäisi merkittävästi aiheen vakavuutta. Googlen mukaan virhe ei olisi niin vakava, jos muut ohitusmenetelmät korjattaisiin. Esimerkiksi etäkoodin suorittamista (RCE) Reunassa ei ole vielä korjattu. Tästä syystä virhe luokiteltiin ”keskisuureksi”.

Google paljasti virheen juuri ennen Microsoftin huhtikuun Patch-tiistaina

Googlen havainnon ja heikkoutta koskevan ilmoituksen ajoitus oli hiukan outo, koska Microsoft ei olisi voinut korjata sitä ennen korjaustiedoston julkaisua. Tämän vuoksi Redmond-jättiläinen pyysi 14 päivän pidennystä.

Toisaalta Microsoft ilmoitti Googlelle, että se julkaisee korjauksen ensi kuussa toukokuun korjaustilaisuudessa. Google hylkäsi Microsoftin pyynnön, eikä se antanut yritykselle 14 päivää, jota se pyysi, samaan aikaan julkistaen puutteen.