Google har afsløret en nul-dags sårbarhed i Windows, som for øjeblikket er upatchet og aktivt udnyttes i naturen. Det er langt at sige, at Microsoft ikke er alt for tilfreds med denne situation og hævder Googles handlinger "sætter kunderne i fare".
Nogle gange i begyndelsen af oktober opdagede Google alvorlige sårbarheder i både Windows og Flash. Den 21. oktober informerede Google Microsoft og Adobe om de kritiske sikkerhedsproblemer. 5 måder at beskytte dig mod fra en nul-dag udnyttelse. 5 måder at beskytte dig mod fra en nul-dag udnyttelse. Nul-dag udnyttelse, software sårbarheder, der udnyttes af hackere før en patch bliver tilgængelig, udgør en reel trussel mod dine data og privatlivets fred. Sådan kan du holde hackere i stykker. Læs mere i begge produkter. Den 26. oktober opdaterede Adobe Flash for at løse problemet. Men Microsoft har stadig ikke løst problemet i Windows-kernen.
På trods af dette offentliggjorde Google oplysninger om sårbarhederne i et indlæg, der blev offentliggjort i Google Security Blog den 31. oktober. Dette overholder selskabets politik for offentligt at afsløre, at sådanne problemer eksisterer syv dage efter at have informeret sælgeren af det eller de berørte produkter.
Microsoft får opstand med Google
Google beskriver Windows-sårbarheden som følger:
"Windows-sårbarheden er en eskalering af lokal privilegium i Windows-kernen, der kan bruges som en sikkerhedssandkasse undslippe. Det kan udløses via win32k.sys systemopkald NtSetWindowLongPtr () for indekset GWLP_ID på et vindueshåndtag med GWL_STYLE indstillet til WS_CHILD. Chrome's sandkasse blokerer win32k.sys systemopkald ved hjælp af Win32k-lukningsbekæmpelsen på Windows 10, som forhindrer udnyttelse af denne sandsynlighedsløsning. "
Hvilket sandsynligvis giver nok information til hackere til at finde ud af, hvordan man bruger sårbarheden til deres fordel. Dette har naturligvis forstyrret Microsoft, som fortalte VentureBeat:
"Vi tror på koordineret udsivning af sårbarhed, og dagens offentliggørelse af Google sætter kunderne i fare. Windows er den eneste platform med en kundes forpligtelse til at undersøge rapporterede sikkerhedsproblemer og proaktivt opdatere effektive enheder så hurtigt som muligt. Vi anbefaler, at brugerne bruger Windows 10 og Microsoft Edge-browseren til den bedste beskyttelse. "
Dette er dårligt for alle involverede
Adobe var i stand til at patchere sårbarheden hurtigt, men så er det meget nemmere at lappe Flash end det er at patchere Windows. Så Microsoft kan have et gyldigt argument om, at en sådan hurtig offentliggørelse er dårlig for alle involverede. Det er bortset fra kriminelle, der forsøger at udnytte sikkerhedshullerne.
Det skal bemærkes, at Flash-sårbarheden er nødvendig for at udnytte Windows-sårbarheden. I det mindste i sin nuværende form. Så længe du er sikker på at du har den nyeste version af Adobe Flash Hvorfor Flash skal dø (og hvordan du kan slippe af med det) Hvorfor Flash skal dø (og hvordan du kan slippe af med det) Internets forhold til Flash har været rocket i et stykke tid. Engang var det en universel standard på internettet. Nu ser det ud til at det kan blive ledet til huggeblokken. Hvad har ændret sig? Læs mere, du bør være sikker fra skade for øjeblikket. Men Microsoft skal stadig patchere Windows sårbarheden snarere end senere.
Har Google gjort det rigtige, der afslører denne sårbarhed så hurtigt? Har Microsoft et gyldigt argument om, at syv dage ikke er lang nok til at patchere sådanne problemer? Har du tjekket for at sikre, at Adobe Flash er opdateret? Lad os venligst vide i kommentarerne nedenfor!
Billedkredit: Pirátská Strana via Flickr