Gabriel Brooks
0 
1774
341
Google har afsløret en nul-dages sårbarhed i Windows, der i øjeblikket ikke sendes ud og udnyttes aktivt i naturen. Det er langt at sige, at Microsoft ikke er alt for tilfreds med denne situation og hævder Googles handlinger “sætter kunder i potentiel risiko”.
Engang i begyndelsen af oktober opdagede Google alvorlige sårbarheder i både Windows og Flash. Den 21. oktober underrettede Google Microsoft og Adobe om de kritiske sikkerhedsproblemer 5 måder at beskytte dig selv mod en nul-dages udnyttelse 5 måder at beskytte dig selv mod en nul-dages udnyttelse Nul-dages udnyttelse, softwaresårbarheder, der udnyttes af hackere før en patch bliver tilgængelig, udgør en ægte trussel mod dine data og privatliv. Sådan kan du holde hackere i skak. i begge produkter. Den 26. oktober opdaterede Adobe Flash for at løse problemet. Men Microsoft har stadig ikke løst problemet, der lurer i Windows-kernen.
På trods af dette afslørede Google detaljer om sårbarhederne i et indlæg, der blev offentliggjort på Google Security Blog den 31. oktober. Dette overholder virksomhedens politik om offentliggørelse af sådanne problemer, der eksisterer syv dage efter at have informeret sælgeren om det eller de berørte produkt (er).
Microsoft bliver vred med Google
Google beskriver Windows-sårbarheden som følger:
“Windows-sårbarheden er en lokal eskalering af lokale privilegier i Windows-kernen, der kan bruges som en sikkerhedssandkasse-undslip. Det kan udløses via win32k.sys systemopkald NtSetWindowLongPtr () for indekset GWLP_ID på et vindueshåndtag med GWL_STYLE indstillet til WS_CHILD. Chromes sandkasse blokerer win32k.sys systemopkald ved hjælp af Win32k lockdown-begrænsning på Windows 10, som forhindrer udnyttelse af denne sandsynlighed for undslip af sandkasse.”
Hvilket sandsynligvis tilbyder nok information til hackere til at finde ud af, hvordan man bruger sårbarheden til deres fordel. Dette har åbenbart forstyrret Microsoft, som fortalte VentureBeat:
“Vi tror på koordineret offentliggørelse af sårbarheder, og dagens afsløring af Google udsætter kunderne for potentiel risiko. Windows er den eneste platform med en kundeforpligtelse til at undersøge rapporterede sikkerhedsproblemer og proaktivt opdatere påvirkede enheder så hurtigt som muligt. Vi anbefaler, at kunder bruger Windows 10 og Microsoft Edge-browseren for den bedste beskyttelse.”
Dette er dårligt for alle involverede
Adobe var i stand til at lappe sårbarheden hurtigt, men så er det meget lettere at lappe Flash end det er at lave Windows. Så Microsoft kan have et gyldigt argument for, at en sådan hurtig offentliggørelse er dårlig for alle involverede. Det er bortset fra kriminelle, der prøver at udnytte sikkerhedshullerne.
Det skal bemærkes, at Flash-sårbarheden er påkrævet for at drage fordel af Windows-sårbarheden. I det mindste i sin nuværende form. Så længe du sikrer dig, at du har den nyeste version af Adobe Flash Hvorfor Flash Needs to Die (Og hvordan du kan slippe af det) Hvorfor Flash Needs at Die (Og hvordan Du kan slippe af med det) Internets forhold til Flash har været stenet et stykke tid. Engang var det en universel standard på nettet. Nu ser det ud til, at det kan være på vej mod skæreblokken. Hvad ændrede sig? , skal du i øjeblikket være beskyttet mod skade. Microsoft skal dog stadig lappe Windows-sårbarheden før snarere end senere.
Gjorde Google det rigtige ved at afsløre denne sårbarhed så hurtigt? Har Microsoft et gyldigt argument om, at syv dage ikke er længe nok til at løse sådanne problemer? Har du kontrolleret for at sikre dig, at Adobe Flash er opdateret? Fortæl os venligst i kommentarerne herunder!
Billedkredit: Pirátská Strana via Flickr