Гоогле-ова група за анализу претњи недавно је открила скуп штетних рањивости у Адобе Фласх-у и Мицрософт Виндовс језгру који се активно користе за нападе злонамјерног софтвера на Цхроме прегледач. Гоогле је јавно објавио пропуст у безбедности у Виндовс-у, само 10 дана након што га је објавио 21. септембра Мицрософту. Гоогле је такође нагласио да нападачи и кодери могу ову агресију агресивно користити да угрозе безбедност у Виндовс системима тако што ће добити приступ на нивоу администратора рачунари који користе злонамерни софтвер.

То се може постићи тако што ћете омогућити мање него поштеним програмерима да побјегну из Виндовс сигурносног сандучета који извршава само апликације на нивоу корисника без потребе за администратором. Заронивши се мало дубље у техничке детаље, вин32к.сис, наслијеђена системска библиотека за Виндовс која се користи углавном за графику, издаје специфичан позив који омогућава потпуни приступ Виндовс окружењу. Гоогле Цхроме већ има механизам одбране за ову врсту пропуста и блокира овај напад на Виндовс 10 користећи модификацију Цхромиум сандбок-а под називом „Вин32к лоцкдовн“.

Гоогле је ову рањивост Виндовса описао на следећи начин:

„Рањивост Виндовс-а је локална ескалација привилегија у Виндовс језгру која се може користити као бекство сигурносног песка. Може се покренути путем системског позива вин32к.сис НтСетВиндовЛонгПтр () за индекс ГВЛП_ИД на ручици прозора са ГВЛ_СТИЛЕ постављеним на ВС_ЦХИЛД. Цхроме-ов песак блокира системске позиве вин32к.сис користећи ублажавање закључавања Вин32к у оперативном систему Виндовс 10, што спречава експлоатацију ове рањивости.

Иако ово није први сусрет Гооглеа са безбедносним пропустом за Виндовс, објавили су јавно саопштење у вези са рањивошћу и касније су мој Мицрософт осрамотили због објављивања јавне белешке пре службеног седмодневног ограничења које је одобрено произвођачима софтвера да издају исправку.

„Након 7 дана, према нашој објављеној политици за активно искоришћавање критичних рањивости, данас откривамо постојање преостале критичне рањивости у Виндовс-у за коју још нису објављени савети или поправци“, написали су Неел Мехта и Билли Леонард из Гооглеове анализе претњи Гроуп. "Ова рањивост је посебно озбиљна јер знамо да се активно искориштава."

Рањивост од 0 дана је јавно обелодањена безбедносна грешка, нова за кориснике. А сада, кад је прошло седмодневно раздобље, од Мицрософта још увек нема доступних исправки закрпа у вези са овом грешком.

Фласх рањивост (такође обелодањена 21. октобра) коју је Гоогле делио са Адобе-ом је закрпана 26. октобра, тако да корисници могу једноставно да се ажурирају на најновију верзију Фласха. Али опет, Мицрософт је активно истакао да за једноставан веб додатак као што је Фласх, издавање закрпа у року од седам дана није изазован циљ, али за сложен ОС попут Виндовс-а, готово је немогуће да га кодира, тестира и издаје закрпа због грешке у безбедности у року од недељу дана.

Не само Мицрософт, већ и многи други главни софтверски субјекти активно су се супротставили овој контроверзној Гооглеовој политици откривања недостатака у року од недељу дана, али Гоогле је тврдио да је безбеднија за јавну безбедност да створи свест о трајној грешци која може угрозити сигурност корисника.