Google zveřejnil aktivně zneužívanou chybu ve Windows 10
1.11.2016, Jan Vítek, aktualita
Google vyšel na světlo světa s informacemi o kritických softwarových chybách ve Windows 10 a Adobe Flash. Zatímco Flash už byl aktualizován, na opravu Windows 10 stále čekáme. A co na to Googlu sdělil Microsoft?
Google tyto již zneužívané chyby zveřejnil, a to prý aby ochránil samotné uživatele. Dá se totiž říci, že zveřejnění daných chyb, pokud už se o nich v temných zákoutí webu ví a jsou aktivně zneužívány, už asi nikomu neublíží. Jeden by si myslel, že firmy pak budou alespoň rychleji reagovat a přinesou nápravu co nejdříve. Google navíc o těchto chybách informoval Microsoft i Adobe už 21. října a zatímco Adobe přineslo novou verzi Flashe již 26. října, Microsoft stále nenabízí nic. Je ale třeba poznamenat, že Flash je poněkud jednodušší software než OS.
Chyba se dle Googlu týká jádra systému Windows a jde o typ "local privilege escalation", která se dá využít pro vystoupení ze sandboxu a může být aktivována prostřednictvím win32k.sys a systémového volání NtSetWindowLongPtr(). Google nezapomněl dodat, že prohlížeč Chrome taková systémová volání z win32k.sys blokuje, takže je vůči této chybě imunní.
Nikdo nezveřejnil, jakým způsobem je tato chyba konkrétně zneužívána a Microsoft také přiznal, že ještě neposkytl žádný opravný patch a ani podrobné instrukce, jak nebezpečí alespoň zmírnit. Serveru VentureBeat ale sdělil, že by byl rád, kdyby Google zveřejňování takovýchto chyb s ním příště konzultoval a že věří v "koordinované odhalování informací o chybách". Dle Microsoftu tak Google vystavil uživatele Windows 10 nebezpečí a své vyjádření uzavřel slovy, že "Windows je jediná platforma, jejíž zákazníci jsou odhodláni zkoumat nahlášené problémy s bezpečností a která je proaktivně aktualizována v nejbližší možné době. Doporučujeme našim zákazníkům, aby využívali Windows 10 a Microsoft Edge, aby byli co nejlépe chráněni". Tolik k reklamnímu sdělení Microsoftu, které jaksi postrádá alespoň zmínku o tom, o jak závažnou chybu vůbec jde, jak se můžeme nyní bránit a kdy můžeme čekat nápravu.
Ukazuje se také, že Google ani aktuálně není zrovna ve vztahu k Microsoftu rezervovaný, ale to je pouze pokračování na motivy Google Project Zero. Už minulý rok si Google nebral servítky a zveřejnil i přes naléhání Microsoftu chybu ve Windows 8.1, na niž v Redmondu nebyli schopni v dané lhůtě najít odpověď.
Zdroj: VentureBeat
Nikdo nezveřejnil, jakým způsobem je tato chyba konkrétně zneužívána a Microsoft také přiznal, že ještě neposkytl žádný opravný patch a ani podrobné instrukce, jak nebezpečí alespoň zmírnit. Serveru VentureBeat ale sdělil, že by byl rád, kdyby Google zveřejňování takovýchto chyb s ním příště konzultoval a že věří v "koordinované odhalování informací o chybách". Dle Microsoftu tak Google vystavil uživatele Windows 10 nebezpečí a své vyjádření uzavřel slovy, že "Windows je jediná platforma, jejíž zákazníci jsou odhodláni zkoumat nahlášené problémy s bezpečností a která je proaktivně aktualizována v nejbližší možné době. Doporučujeme našim zákazníkům, aby využívali Windows 10 a Microsoft Edge, aby byli co nejlépe chráněni". Tolik k reklamnímu sdělení Microsoftu, které jaksi postrádá alespoň zmínku o tom, o jak závažnou chybu vůbec jde, jak se můžeme nyní bránit a kdy můžeme čekat nápravu.
Ukazuje se také, že Google ani aktuálně není zrovna ve vztahu k Microsoftu rezervovaný, ale to je pouze pokračování na motivy Google Project Zero. Už minulý rok si Google nebral servítky a zveřejnil i přes naléhání Microsoftu chybu ve Windows 8.1, na niž v Redmondu nebyli schopni v dané lhůtě najít odpověď.
Zdroj: VentureBeat
