Annuncio pubblicitario
Google ha rivelato una vulnerabilità zero-day in Windows che è attualmente senza patch e sfruttata attivamente in natura. È lontano dire che Microsoft non è affatto contenta di questa situazione, sostenendo che le azioni di Google "mettono a rischio i clienti".
All'inizio di ottobre, Google ha scoperto serie vulnerabilità sia in Windows che in Flash. Il 21 ottobre, Google ha informato Microsoft e Adobe del problemi di sicurezza critici 5 modi per proteggersi da uno sfruttamento zero-dayGli exploit zero-day, le vulnerabilità del software che vengono sfruttate dagli hacker prima che una patch sia disponibile, rappresentano una vera minaccia per i tuoi dati e la tua privacy. Ecco come tenere a bada gli hacker. Leggi di più in entrambi i prodotti. Il 26 ottobre, Adobe ha aggiornato Flash per risolvere il problema. Ma Microsoft non ha ancora risolto il problema in agguato nel kernel di Windows.
Nonostante ciò, Google ha rivelato i dettagli delle vulnerabilità in un post pubblicato su
il blog sulla sicurezza di Google il 31 ottobre. Ciò aderisce alla politica della società di rivelare pubblicamente tali problemi esistenti sette giorni dopo aver informato il fornitore del prodotto o dei prodotti interessati.Microsoft viene sconvolta da Google
Google descrive la vulnerabilità di Windows come segue:
“La vulnerabilità di Windows è un'escalation di privilegi locali nel kernel di Windows che può essere utilizzata come escape sandbox di sicurezza. Può essere attivato tramite la chiamata di sistema win32k.sys NtSetWindowLongPtr () per l'indice GWLP_ID su un handle di finestra con GWL_STYLE impostato su WS_CHILD. La sandbox di Chrome blocca le chiamate di sistema win32k.sys utilizzando la mitigazione del blocco Win32k su Windows 10, che impedisce lo sfruttamento di questa vulnerabilità di fuga dalla sandbox ".
Che probabilmente offre informazioni sufficienti agli hacker per capire come utilizzare la vulnerabilità a loro vantaggio. Ciò ha ovviamente sconvolto Microsoft, che ha detto VentureBeat:
"Crediamo nella divulgazione coordinata delle vulnerabilità e la divulgazione odierna da parte di Google mette a rischio i clienti. Windows è l'unica piattaforma con l'impegno del cliente a indagare sui problemi di sicurezza segnalati e ad aggiornare in modo proattivo i dispositivi interessati il prima possibile. Consigliamo ai clienti di utilizzare Windows 10 e il browser Microsoft Edge per la migliore protezione. "
Questo è negativo per tutti i soggetti coinvolti
Adobe è stato in grado di correggere rapidamente la vulnerabilità, ma è molto più semplice correggere Flash rispetto a Windows. Quindi Microsoft potrebbe avere una valida argomentazione secondo cui una divulgazione pubblica così rapida è dannosa per tutti i soggetti coinvolti. A parte i criminali che cercano di sfruttare le falle della sicurezza.
Va notato che la vulnerabilità di Flash è necessaria per sfruttare la vulnerabilità di Windows. Almeno nella sua forma attuale. Quindi, purché tu ti assicuri di avere l'ultima versione di Adobe Flash Perché Flash deve morire (e come sbarazzartene)Il rapporto di Internet con Flash è stato difficile per un po '. Una volta, era uno standard universale sul web. Ora, sembra che potrebbe essere diretto al ceppo. Che cosa è cambiato? Leggi di più , per il momento dovresti essere al sicuro dai pericoli. Tuttavia, Microsoft deve ancora correggere la vulnerabilità di Windows prima piuttosto che successivamente.
Google ha fatto la cosa giusta rivelando questa vulnerabilità così rapidamente? Microsoft ha un valido argomento sul fatto che sette giorni non sono abbastanza lunghi per correggere tali problemi? Hai controllato per assicurarti che Adobe Flash sia aggiornato? Fatecelo sapere nei commenti qui sotto!
Credito immagine: Pirátská Strana via Flickr
Dave Parrack è uno scrittore britannico con un fascino per la tecnologia. Con oltre 10 anni di esperienza nella scrittura di pubblicazioni online, è ora vicedirettore di MakeUseOf.