Googleova grupa za analizu prijetnji nedavno je otkrila niz štetnih ranjivosti u Adobe Flashu i Microsoft Windows jezgru koji se aktivno koriste za napade zlonamjernog softvera na preglednik Chrome. Google je javno objavio propust u sigurnosti u sustavu Windows samo 10 dana nakon što ga je objavio 21. svibnja Microsoftu. Google je također istaknuo da napadači i koderi mogu ovu agresiju agresivno iskoristiti za ugrožavanje sigurnosti u Windows sustavima tako što će dobiti pristup na razini administratora računala koja koriste zlonamjerni softver.

To se može postići tako da se manje nego poštenim programerima omogući da pobjegnu iz Windows sigurnosnog sandučeta koji izvršava samo aplikacije na razini korisnika bez potrebe za administratorom. Zaronivši se malo dublje u tehničke značajke, win32k.sys, naslijeđena Windows sistemska biblioteka koja se uglavnom koristi za grafiku, izdaje specifičan poziv koji omogućuje potpuni pristup Windows okruženju. Google Chrome već ima mehanizam obrane za ovu vrstu propusta i blokira ovaj napad na Windows 10 koristeći izmjenu Chromium sandbox-a pod nazivom "Win32k lockdown".

Google je ovu ranjivost Windowsa opisao na sljedeći način:

"Ranjivost sustava Windows lokalna je eskalacija privilegija u Windows jezgri koja se može upotrijebiti kao bijeg sigurnosnog okvira. Može se pokrenuti putem win32k.sys sistemskog poziva NtSetWindowLongPtr () za indeks GWLP_ID na ručici prozora sa GWL_STYLE postavljenim na WS_CHILD. Chromeov sandbox blokira sistemske pozive win32k.sys pomoću ublažavanja zaključavanja Win32k u sustavu Windows 10, što sprječava iskorištavanje ranjivosti ovog sigurnosnog sandučića."

Iako ovo nije prvi susret Googlea sa sigurnosnim nedostatkom sustava Windows, objavili su javnu izjavu o ranjivosti i kasnije su moj Microsoft osramotili zbog objavljivanja javne bilješke prije službenog sedmodnevnog ograničenja koje je odobreno proizvođačima softvera da izdaju ispravku.

"Nakon 7 dana, prema našoj objavljenoj politici za aktivno iskorištavanje kritičnih ranjivosti, danas otkrivamo postojanje preostale kritične ranjivosti u sustavu Windows za koju još nisu objavljeni savjeti ili popravci", napisali su Neel Mehta i Billy Leonard iz Googleove analize prijetnji Grupa. "Ova je ranjivost osobito ozbiljna jer znamo da se aktivno iskorištava."

Nulti dan ranjivost je javno objavljena sigurnosna manjka, nova za korisnike. A sada, kad je prošlo sedmodnevno razdoblje, od Microsofta još uvijek nema dostupnih popravka zakrpa u vezi s ovom bugom.

Ranjivost Flash-a (također objavljena 21. listopada) koju je Google podijelio s Adobeom zakrpljena je 26. listopada, tako da korisnici mogu jednostavno ažurirati na najnoviju verziju Flasha. No opet, Microsoft je aktivno istaknuo da za jednostavan web dodatak poput Flash-a izdavanje zakrpa u roku od sedam dana nije izazovan cilj, ali za složeni OS poput Windows-a gotovo je nemoguće kodirati, testirati i izdati zakrpa zbog sigurnosnog propusta u roku od tjedan dana.

Ne samo Microsoft, već i mnogi drugi veliki softverski subjekti aktivno su se suprotstavili ovoj kontroverznoj Googleovoj politici otkrivanja nedostataka u roku od tjedan dana, ali Google je tvrdio da je sigurnija javna sigurnost da stvori svijest o trajnoj pogrešci koja može ugroziti sigurnost korisnika.