Google ha appena creato una vulnerabilità legata alla vulnerabilità di Windows

Google ha rivelato una vulnerabilità di tipo zero-day in Windows, che attualmente non è sottoposta a patch e viene attivamente sfruttata in natura. È lontano da dire che Microsoft non è troppo contento di questa situazione, sostenendo le azioni di Google “mette i clienti a rischio potenziale”.

All'inizio di ottobre, Google ha scoperto gravi vulnerabilità sia in Windows che in Flash. Il 21 ottobre, Google ha informato Microsoft e Adobe dei problemi di sicurezza critici 5 modi per proteggersi da uno sfruttamento zero-day 5 modi per proteggersi da un exploit zero-day Zero-day exploit, vulnerabilità software che vengono sfruttate dagli hacker prima una patch diventa disponibile, rappresenta una vera minaccia per i dati e la privacy. Ecco come puoi tenere a bada gli hacker. Leggi di più in entrambi i prodotti. Il 26 ottobre, Adobe ha aggiornato Flash per risolvere il problema. Ma Microsoft non ha ancora risolto il problema in agguato nel kernel di Windows.

Nonostante ciò, Google ha rivelato dettagli delle vulnerabilità in un post pubblicato sul Blog di Google Security il 31 ottobre. Ciò aderisce alla politica dell'azienda di rivelare pubblicamente che tali problemi esistono sette giorni dopo aver informato il fornitore dei prodotti interessati.

Microsoft diventa sconvolto con Google

Google descrive la vulnerabilità di Windows come segue:

“La vulnerabilità di Windows è un'escalation di privilegi locali nel kernel di Windows che può essere utilizzata come escape sandbox di sicurezza. Può essere attivato tramite la chiamata di sistema win32k.sys NtSetWindowLongPtr () per l'indice GWLP_ID su un handle di finestra con GWL_STYLE impostato su WS_CHILD. La sandbox di Chrome blocca le chiamate di sistema win32k.sys utilizzando la riduzione del lockdown Win32k su Windows 10, che impedisce lo sfruttamento di questa vulnerabilità di escape sandbox.”

Quale probabilmente offre informazioni sufficienti per gli hacker per capire come utilizzare la vulnerabilità a proprio vantaggio. Ciò ha ovviamente sconvolto Microsoft, che ha dichiarato a VentureBeat:

“Crediamo nella divulgazione coordinata delle vulnerabilità e la divulgazione di oggi da parte di Google mette a rischio i clienti. Windows è l'unica piattaforma con l'impegno del cliente a indagare sui problemi di sicurezza segnalati e ad aggiornare in modo proattivo i dispositivi interessati il ​​prima possibile. Raccomandiamo ai clienti di utilizzare Windows 10 e il browser Microsoft Edge per la migliore protezione.”

Questo è negativo per tutti coloro che sono coinvolti

Adobe è riuscita a correggere rapidamente la vulnerabilità, ma è molto più facile applicare patch a Flash piuttosto che correggere Windows. Quindi Microsoft potrebbe avere una valida argomentazione sul fatto che una divulgazione pubblica così veloce è dannosa per tutte le persone coinvolte. Questo è a parte i criminali che cercano di sfruttare le falle della sicurezza.

È necessario notare che è richiesta la vulnerabilità di Flash per sfruttare la vulnerabilità di Windows. Almeno nella sua forma attuale. Quindi, fintanto che ti assicuri di avere l'ultima versione di Adobe Flash Perché Flash ha bisogno di morire (e come puoi liberartene) Perché Flash ha bisogno di morire (e come puoi sbarazzartene) La relazione di Internet con Flash è stato roccioso per un po '. Una volta, era uno standard universale sul web. Ora, sembra che possa essere diretto al ceppo. Cosa è cambiato? Per saperne di più, si dovrebbe essere al sicuro da danni per il momento. Tuttavia, Microsoft ha ancora bisogno di patchare la vulnerabilità di Windows prima piuttosto che dopo.

Google ha fatto la cosa giusta rivelando questa vulnerabilità così rapidamente? Microsoft ha una valida argomentazione secondo cui sette giorni non sono sufficienti per correggere questi problemi? Hai controllato per assicurarti che Adobe Flash sia aggiornato? Per favore fateci sapere nei commenti qui sotto!

Immagine di credito: Pirátská Strana via Flickr

Scopri di più su: Adobe Flash, Google, Hacking, Microsoft, Windows.