Googles trusselanalysegruppe har nylig avdekket et sett med skadelige sårbarheter i Adobe Flash og Microsoft Windows-kjernen som ble aktivt brukt for malware-angrep mot Chrome-nettleseren. Google har offentliggjort sikkerhetsfeilen i Windows bare ti dager etter å ha avslørt den for Microsoft 21. oktober. Google påpekte også at denne feilen kan bli aggressivt brukt av angripere og kodere for å kompromittere sikkerheten i Windows-systemer ved å få administratornivå tilgang til datamaskiner som bruker skadelig programvare.

Dette kan oppnås ved å la mindre enn ærlige utviklere flykte fra Windows 'sikkerhetssandkasse som bare kjører apper på brukernivå uten å ha administratoradgang. Dyping litt dypere i det tekniske, win32k.sys, et eldre Windows-systembibliotek som hovedsakelig brukes til grafikk, får en spesifikk samtale som gir full tilgang til Windows-miljøet. Google Chrome har allerede en forsvarsmekanisme på plass for denne typen feil og blokkerer dette angrepet på Windows 10 ved å bruke en modifisering av Chromium sandkassen kalt “Win32k lockdown”.

Google beskrev dette spesielle Windows-sikkerhetsproblemet som følger:

“Windows-sårbarheten er en lokal opptrapping av privilegier i Windows-kjernen som kan brukes som en sikkerhetssandkasse-flukt. Det kan utløses via win32k.sys systemanrop NtSetWindowLongPtr () for indeksen GWLP_ID på et vindushåndtak med GWL_STYLE satt til WS_CHILD. Chromes sandkasse blokkerer win32k.sys systemanrop ved bruk av Win32k lockdown-begrensning på Windows 10, som forhindrer utnyttelse av dette sikkerhetsproblemet for rømning av sandkasse."

Selv om dette ikke er Googles første møte med en sikkerhetsfeil i Windows, ga de ut en offentlig uttalelse om en sårbarhet og ble senere basert min Microsoft for å ha gitt ut en offentlig merknad før den offisielle syv-dagers grensen som gis til programvareprodusenter for å utstede en løsning.

I løpet av 7 dager, i henhold til vår publiserte policy for aktivt utnyttet kritiske sårbarheter, avslører vi i dag eksistensen av et gjenværende kritisk sårbarhet i Windows som det ennå ikke er gitt noen rådgivende eller fikser, "skrev Neel Mehta og Billy Leonard fra Googles trusselanalyse Gruppe. ”Denne sårbarheten er spesielt alvorlig fordi vi vet at den blir aktivt utnyttet.”

En nulldagers sårbarhet er en offentlig avslørt sikkerhetsfeil som er ny for brukerne. Og nå som tidsperioden på sju dager har gått, er det fremdeles ingen patch-fix tilgjengelig angående denne feilen fra Microsoft.

Flash-sårbarheten (også avslørt 21. oktober) som Google delte med Adobe ble oppdatert 26. oktober. Så brukere kan ganske enkelt oppdatere til den nyeste versjonen av Flash. Men igjen har Microsoft aktivt påpekt at for en enkel nettplugin som Flash, å utstede en patch innen syv dager ikke er et utfordrende mål, men for et komplekst operativsystem som Windows, er det nesten umulig å kode, teste og utstede en oppdatering for en sikkerhetsfeil i løpet av en uke.

Ikke bare Microsoft, men mange andre store programvarenheter, har aktivt motarbeidet denne kontroversielle policyen fra Google om å avsløre feil innen en ukes grense, men Google har fastholdt at det er tryggere for offentlig sikkerhet å skape oppmerksomhet rundt en vedvarende feil som kan kompromittere brukernes sikkerhet.