Google v posledních několika měsících našel a pomohl řešit několik chyb, zejména v Microsoft Edge a Windows 10. Nyní technický gigant odhalil „střední“ bezpečnostní problém v systémech, které mají povolenou integritu kódu uživatelského režimu (UMCI). Jako příklad byl použit operační systém Windows 10 S, protože ve výchozím nastavení je tato zásada povolena.

Windows 10 S je zabezpečený operační systém i přes nový nález

Windows 10 S je vysoce zabezpečený operační systém, ale má vlastní podíl omezení, včetně skutečnosti, že v něm nelze spustit aplikace Win32. Tým Google Project Zero našel v operačním systému chybu, která umožňuje libovolné rozšíření kódu v systému, který má povoleno UMCI. Ve Windows 10 S je ve výchozím nastavení povolena funkce Device Guard.

Tato chyba zabezpečení ovlivňuje pouze systémy, které mají povolenou funkci Guard Guard, a chybu nelze z ostatních systémů vzdáleně využít. Aby to útočník mohl udělat, musel by mít kód již spuštěný v systému, aby mohl upravit položky registru. To by výrazně snížilo závažnost problému. Podle Google by vada nebyla tak závažná, kdyby byly opraveny jiné metody obtoku. Například vzdálené spuštění kódu (RCE) v Edge není stále opraveno. To je důvod, proč byla vada klasifikována jako „střední“.

Google odhalil chybu těsně před dubnovou opravnou úterou společnosti Microsoft

Načasování nálezu Google a oznámení o slabosti bylo trochu podivné, protože Microsoft to nemohl opravit před vydáním opravy. To vedlo k tomu, že gigant Redmond požádal o prodloužení o 14 dní.

Na druhou stranu společnost Microsoft informovala společnost Google, že příští měsíc v úterý v květnové opravě zavede opravu. Google žádost Microsoftu odmítl a společnosti neposkytl 14 dní, o které požádal, a zároveň zveřejnil vadu.