Google publikuje krytyczną podatność w Windows 10

Google publikuje krytyczną podatność w Windows 10

Autor: Krzysztof Sulikowski

Opublikowano: 11/1/2016, 6:52 PM

Liczba odsłon: 2615

Grupa analityków bezpieczeństwa z Google upubliczniła szczegóły dotyczące poważnej luki bezpieczeństwa w Windows 10, narażając miliony użytkowników na ryzyko i zmuszając Microsoft do szybkiego podjęcia działań. Google poinformował najpierw Microsoft, jednak mimo to zdecydował się na udostępnienie informacji przed wydaniem odpowiedniej łatki.

Nie jest to pierwszy raz, kiedy Google publikuje informacje o niezałatanych podatnościach w systemie konkurencji. Dwa lata temu identyczny scenariusz przypadł w udziale Windows 8.1, w którym Google znalazł dwie luki i napisał o nich przed wydaniem patcha. Ostatnie odkrycie firma opisuje jako "poniekąd poważne", jako że podatność można aktywnie zaatakować exploitem. "Podatność w Windows jest lokalną eskalacją uprawnień w jądrze Windows i może zostać użyta w celu obejścia zabezpieczeń. Można ją wywołać w win32k.sys poleceniem NtSetWindowLongPtr() dla indeksu GWLP_ID w oknie, gdzie właściwość GWL_STYLE ustawiono na WS_CHILD. Sandbox w Chrome blokuje zapytania win32k.sys poprzez blokadę, co zapobiega działaniu exploita".

Źródło: regmedia.co.uk

Neel Mehta i Billy Leonard z Threat Analysis Group w Google wyjaśniają, skąd decyzja o publikacji dokładnych informacji: "W piątek, 21 października, zgłosiliśmy podatności 0-day - wówczas nieznane publicznie - do Adobe i Microsoft. Adobe zaktualizował Flash 26 października, adresując CVE-2016-7855". W przypadku Microsoft specjaliści nie doczekali się odpowiedzi: "Po 7 dniach, opierając się na naszej polityce publikacji krytycznych podatności, ujawniamy istnienie pozostającej wciąż krytycznej podatności w Windows, dla której nie wydano ostrzeżenia lub łatki". Jak przekonują analitycy z Google, jest to poważna sprawa, bowiem podatność jest już wykorzystywana przez hakerów.

Kiedy pojawią się odpowiednie łatki i dlaczego Microsoft zwlekał z ich udostępnieniem? Tego nie wiadomo. Liczymy, że ukażą się one w ciągu najbliższych dni, bez czekania kolejnego tygodnia na listopadowy Patch Tuesday.