Google heeft een zero-day-kwetsbaarheid in Windows onthuld die momenteel niet is gepatcht en die in het wild actief wordt uitgebuit. Het is ver te verklaren dat Microsoft niet al te blij is met deze situatie en beweert dat de acties van Google 'klanten potentieel in gevaar brengen'.
In de loop van oktober ontdekte Google ernstige kwetsbaarheden in zowel Windows als Flash. Op 21 oktober informeerde Google Microsoft en Adobe over de kritieke beveiligingsproblemen 5 manieren om uzelf te beschermen tegen een zero-day-exploitatie 5 manieren om uzelf te beschermen tegen zero-day exploits Zero-day exploits, softwarekwetsbaarheden die door hackers worden misbruikt een patch komt beschikbaar, vormt een echte bedreiging voor uw gegevens en privacy. Hier is hoe je hackers op afstand houdt. Lees meer in beide producten. Op 26 oktober update Adobe Flash om het probleem op te lossen. Maar Microsoft heeft het probleem op de loer in de Windows-kernel nog steeds niet opgelost.
Ondanks dit onthulde Google details over de kwetsbaarheden in een post die op 31 oktober op het Google-beveiligingsblog werd gepubliceerd. Dit houdt zich aan het beleid van het bedrijf om publiekelijk bekend te maken dat dergelijke problemen bestaan zeven dagen na het informeren van de verkoper van het / de betreffende product (en).
Microsoft wordt boos op Google
Google beschrijft het beveiligingslek in Windows als volgt:
"Het Windows-beveiligingslek is een escalatie van lokale privileges in de Windows-kernel die kan worden gebruikt als een beveiligingssandbox. Het kan worden geactiveerd via de systeemaanroep win32k.sys NtSetWindowLongPtr () voor de index GWLP_ID op een vensteringang met GWL_STYLE ingesteld op WS_CHILD. Chrome-sandbox blokkeert Win32K.sys-systeemaanroepen met de Windows XP-vergrendeling voor Windows-vergrendeling, die misbruik van dit beveiligingslek met betrekking tot sandbox-escape's voorkomt. "
Wat waarschijnlijk genoeg informatie biedt voor hackers om erachter te komen hoe ze de kwetsbaarheid in hun voordeel kunnen gebruiken. Dit heeft Microsoft duidelijk van streek gemaakt, wat VentureBeat heeft gezegd:
"Wij geloven in gecoördineerde openbaarmaking van kwetsbaarheden, en de huidige onthulling door Google stelt klanten in gevaar. Windows is het enige platform met een verbintenis van de klant om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten proactief te updaten zo snel mogelijk. We raden klanten aan om Windows 10 en de Microsoft Edge-browser te gebruiken voor de beste bescherming. "
Dit is slecht voor iedereen die betrokken is
Adobe kon het beveiligingslek snel repareren, maar dan is het een stuk eenvoudiger om Flash te patchen dan om Windows te patchen. Microsoft kan dus een geldig argument hebben dat een dergelijke snelle openbaarmaking slecht is voor alle betrokkenen. Dat is afgezien van criminelen die proberen de gaten in de beveiliging te misbruiken.
Opgemerkt moet worden dat de Flash-kwetsbaarheid vereist is om te profiteren van de kwetsbaarheid van Windows. Tenminste in zijn huidige vorm. Dus, zolang je ervoor zorgt dat je de nieuwste versie van Adobe Flash hebt Waarom Flash moet sterven (en hoe je er vanaf kunt komen) Waarom Flash moet sterven (en hoe je er vanaf kunt komen) De relatie van internet met Flash is al een tijdje rotsachtig. Ooit was het een universele standaard op internet. Nu lijkt het erop dat het misschien naar het hakblok gaat. Wat veranderde? Lees Meer, je zou voorlopig veilig moeten zijn voor kwaad. Microsoft moet echter nog steeds eerder de kwetsbaarheid van Windows eerder patchen dan later.
Heeft Google het juiste gedaan om deze kwetsbaarheid zo snel te onthullen? Heeft Microsoft een geldig argument dat zeven dagen niet lang genoeg is om dergelijke problemen op te lossen? Heeft u gecontroleerd of Adobe Flash up-to-date is? Laat het ons weten in de comments hieronder!
Afbeelding: Pirátská Strana via Flickr