Skupina pro analýzu hrozeb Google nedávno odhalila řadu škodlivých zranitelností v Adobe Flash a jádru systému Microsoft Windows, které byly aktivně používány k útokům malwaru na prohlížeč Chrome. Google veřejně oznámil bezpečnostní chybu ve Windows pouhých 10 dnů poté, co ji oznámil společnosti Microsoft 21. října. Google rovněž zdůraznil, že tuto chybu by mohli útočníci a kodéry agresivně využít k ohrožení bezpečnosti v systémech Windows získáním přístupu na úrovni správce k počítače používající malware.

Toho lze dosáhnout tím, že umožní méně než čestným vývojářům uniknout z karantény zabezpečení systému Windows, která provádí pouze aplikace na úrovni uživatele bez nutnosti přístupu správce. Win32k.sys, starší systémová knihovna Windows používaná hlavně pro grafiku, je ponořen o něco hlouběji do technických specifik a je vydán konkrétní hovor, který poskytuje plný přístup do prostředí Windows. Google Chrome již má mechanismus obrany pro tento druh chyby a blokuje tento útok na Windows 10 pomocí úpravy karantény Chromium s názvem „Win32k lockdown“.

Google popsal tuto konkrétní chybu zabezpečení Windows následovně:

„Chyba zabezpečení systému Windows je eskalace lokálních oprávnění v jádru systému Windows, kterou lze použít jako únik z karantény zabezpečení. Může být spuštěn prostřednictvím systémového volání win32k.sys NtSetWindowLongPtr () pro index GWLP_ID na popisovač okna s GWL_STYLE nastaveným na WS_CHILD. Sandbox prohlížeče Chrome blokuje systémová volání win32k.sys pomocí zmírnění uzamčení Win32k v systému Windows 10, což zabraňuje zneužití této únikové chyby v karanténě. “

Přestože se nejedná o první setkání společnosti Google s bezpečnostní chybou systému Windows, vydali veřejné prohlášení týkající se zranitelnosti a později společnost Microsoft zaútočila na vydání veřejné poznámky před oficiálním sedmidenním limitem, který je poskytován výrobcům softwaru k vydání opravy.

„Po 7 dnech zveřejňujeme v souladu s našimi zveřejněnými zásadami pro aktivní zneužití kritických zranitelností dnešní existenci přetrvávající kritické zranitelnosti v systému Windows, pro kterou ještě nebyla vydána žádná doporučení nebo oprava, “ napsal Neel Mehta a Billy Leonard z Analýzy hrozeb společnosti Google Group. “Tato zranitelnost je obzvláště závažná, protože víme, že je aktivně využívána.“

Chyba zabezpečení v den nuly je veřejně odhalenou bezpečnostní chybou pro uživatele. A nyní, když uplynulo sedmidenní časové období, stále není k dispozici žádná oprava opravy týkající se této chyby od společnosti Microsoft.

Chyba zabezpečení Flash (zveřejněná také 21. října), kterou Google sdílel s Adobe, byla opravena 26. října, takže uživatelé mohou jednoduše aktualizovat na nejnovější verzi Flash. Microsoft však opět aktivně zdůraznil, že pro jednoduchý webový plugin, jako je Flash, není vydání záplaty do sedmi dnů náročným cílem, ale u složitých operačních systémů, jako je Windows, je téměř nemožné kódovat, testovat a vydávat náplast na bezpečnostní chybu do týdne.

Nejen Microsoft, ale mnoho dalších hlavních softwarových subjektů se aktivně stavělo proti této kontroverzní politice společnosti Google ohledně odhalení nedostatků v rámci týdenního limitu, ale Google tvrdí, že je pro veřejnou bezpečnost bezpečnější vytvářet povědomí o přetrvávajících chybách, které mohou ohrozit bezpečnost uživatelů.