Grupa Google Threat Analysis Group odkryła niedawno zestaw szkodliwych luk w zabezpieczeniach Adobe Flash i jądra systemu Microsoft Windows, które były aktywnie wykorzystywane do ataków złośliwego oprogramowania na przeglądarkę Chrome. Google publicznie ogłosiło lukę w zabezpieczeniach systemu Windows zaledwie 10 dni po ujawnieniu jej firmie Microsoft 21 października. Google wskazał również, że luka ta może zostać agresywnie wykorzystana przez osoby atakujące i kodujące w celu naruszenia bezpieczeństwa w systemach Windows poprzez uzyskanie dostępu na poziomie administratora do komputery używające złośliwego oprogramowania.

Można to osiągnąć, pozwalając mniej niż uczciwym programistom na ucieczkę z piaskownicy zabezpieczeń systemu Windows, która wykonuje tylko aplikacje na poziomie użytkownika bez potrzeby dostępu administratora. Zagłębiając się nieco w szczegóły techniczne, win32k.sys, starsza biblioteka systemu Windows obsługująca głównie grafikę, otrzymuje specjalne wywołanie, które zapewnia pełny dostęp do środowiska Windows. Google Chrome ma już mechanizm obrony przed tego rodzaju usterką i blokuje ten atak na Windows 10 przy użyciu modyfikacji piaskownicy Chromium o nazwie „Blokowanie Win32k”.

Google opisał tę szczególną lukę w systemie Windows w następujący sposób:

„Luka w systemie Windows to eskalacja lokalnych uprawnień w jądrze systemu Windows, którą można wykorzystać jako ucieczkę z piaskownicy bezpieczeństwa. Można go uruchomić za pomocą wywołania systemowego win32k.sys NtSetWindowLongPtr () dla indeksu GWLP_ID na uchwycie okna z GWL_STYLE ustawionym na WS_CHILD. Piaskownica Chrome blokuje wywołania systemowe win32k.sys za pomocą ograniczenia blokady Win32k w systemie Windows 10, co zapobiega wykorzystaniu luki w zabezpieczeniach związanej z ucieczką piaskownicy. ”

Chociaż nie jest to pierwsze spotkanie Google z luką w zabezpieczeniach systemu Windows, wydali publiczne oświadczenie dotyczące luki w zabezpieczeniach, a następnie zostali sparaliżowani przez moją firmę Microsoft za opublikowanie publicznej noty przed oficjalnym siedmiodniowym limitem przyznanym producentom oprogramowania na wydanie poprawki.

„Po 7 dniach, zgodnie z naszą opublikowaną polityką dotyczącą aktywnego wykorzystywania krytycznych luk, dzisiaj ujawniamy istnienie pozostałej krytycznej luki w systemie Windows, dla której nie opublikowano jeszcze żadnej porady ani poprawki”, napisali Neel Mehta i Billy Leonard z Analizy Zagrożeń Google Grupa. ”Ta luka jest szczególnie poważna, ponieważ wiemy, że jest aktywnie wykorzystywana.”

Luka zero-dniowa jest ujawnioną publicznie luką w zabezpieczeniach, nową dla użytkowników. A teraz, kiedy minął siedmiodniowy okres, nadal nie jest dostępna poprawka dotycząca tego błędu od Microsoftu.

Luka w zabezpieczeniach Flash (ujawniona również 21 października), którą Google udostępnił Adobe, została załatana 26 października. Użytkownicy mogą więc po prostu zaktualizować najnowszą wersję Flash. Ale z drugiej strony Microsoft aktywnie wskazał, że w przypadku prostej wtyczki internetowej, takiej jak Flash, wydanie poprawki w ciągu siedmiu dni nie jest trudnym celem, ale w przypadku złożonego systemu operacyjnego, takiego jak Windows, prawie niemożliwe jest kodowanie, testowanie i wydawanie łatka na usterkę bezpieczeństwa w ciągu tygodnia.

Nie tylko Microsoft, ale wiele innych dużych podmiotów programowych aktywnie sprzeciwia się tej kontrowersyjnej polityce Google polegającej na ujawnianiu błędów w ciągu tygodnia, ale Google utrzymuje, że bezpieczniej jest dla bezpieczeństwa publicznego, aby uświadomić sobie o utrzymującym się błędzie, który może zagrozić bezpieczeństwu użytkownika.