Google har avslørt et nulldagssårbarhet i Windows, som for øyeblikket ikke er oppdatert og aktivt utnyttet i naturen. Det er langt å si at Microsoft ikke er altfor fornøyd med denne situasjonen, og hevder at Googles handlinger "setter kunder i potensiell risiko".
Noen ganger i begynnelsen av oktober oppdaget Google alvorlige sårbarheter i både Windows og Flash. Den 21. oktober informerte Google Microsoft og Adobe om de kritiske sikkerhetsproblemene. 5 måter å beskytte deg mot fra en null-dag-utfordring. 5 måter å beskytte deg mot fra en null-dag-utfordring. Nullagers utnyttelser, programvaresårbarheter som utnyttes av hackere før et lapp blir tilgjengelig, utgjør en ekte trussel mot dine data og personvern. Her er hvordan du kan holde hackere i sjakk. Les mer i begge produktene. 26. oktober oppdaterte Adobe Flash for å fikse problemet. Men Microsoft har fortsatt ikke løst problemet i Windows-kjernen.
Til tross for dette har Google avslørt detaljer om sikkerhetsproblemene i et innlegg publisert i Google Security Blog 31. oktober. Dette overholder selskapets retningslinjer for offentlig avsløring av slike problemer eksisterer syv dager etter informering av leverandøren av det eller de berørte produktene.
Microsoft blir opprørt med Google
Google beskriver Windows-sikkerhetsproblemet som følger:
"Windows-sikkerhetsproblemet er en eskalering av lokal privilegium i Windows-kjernen som kan brukes som en sikkerhetssandboksflukt. Det kan utløses via win32k.sys systemanrop NtSetWindowLongPtr () for indeksen GWLP_ID på et vinduhåndtak med GWL_STYLE satt til WS_CHILD. Chromes sandkasse blokkerer win32k.sys systemanrop ved å bruke Win32k-nedkoblingsbegrensningen på Windows 10, noe som forhindrer utnyttelse av denne sandkassen unngår sårbarhet. "
Som sannsynligvis tilbyr nok informasjon for hackere å finne ut hvordan du bruker sårbarheten til deres fordel. Dette har åpenbart opprørt Microsoft, som fortalte VentureBeat:
"Vi tror på samordnet utsatt sårbarhet, og dagens offentliggjøring av Google setter kunder på potensiell risiko. Windows er den eneste plattformen med en kundeengasjement for å undersøke rapporterte sikkerhetsproblemer og proaktivt oppdatere effektive enheter så snart som mulig. Vi anbefaler at brukerne bruker Windows 10 og Microsoft Edge-nettleseren for å få best mulig beskyttelse. "
Dette er dårlig for alle involverte
Adobe var i stand til å lappe sikkerhetsproblemet raskt, men da er det mye lettere å lappe Flash enn det er å lappe Windows. Så Microsoft kan ha et gyldig argument for at en så rask offentliggjøring er dårlig for alle involverte. Det er bortsett fra kriminelle som prøver å utnytte sikkerhetshullene.
Det bør bemerkes at Flash-sikkerhetsproblemet er nødvendig for å utnytte Windows-sikkerhetsproblemet. I hvert fall i sin nåværende form. Så, så lenge du sørger for at du har den nyeste versjonen av Adobe Flash, hvorfor Flash trenger å dø (og hvordan du kan bli kvitt det). Hvorfor Flash trenger å dø (og hvordan du kan bli kvitt det) Internett-forholdet med Flash har vært steinete en stund. En gang var det en universell standard på nettet. Nå ser det ut til at det kan bli ledet til hakkeblokken. Hva har forandret seg? Les mer, du bør være trygg for skade for øyeblikket. Imidlertid må Microsoft fortsatt lette Windows-sikkerhetsproblemet snarere enn senere.
Har Google gjort det riktige ved å avsløre dette sikkerhetsproblemet så raskt? Har Microsoft et gyldig argument at syv dager ikke er lang nok til å lappe slike problemer? Har du sjekket for å sikre at Adobe Flash er oppdatert? Vennligst gi oss beskjed i kommentarene nedenfor!
Bildekreditt: Pirátská Strana via Flickr