|
Google пренебрегна оплакванията на Microsoft относно разкриването на уязвимости в Windows, и пусна в публичното пространство доклад и PoC (proof-of-concept) код за трета уязвимост в операционната система на Microsoft. Компанията е докладвала на Microsoft за наличието на дупката в средата на октомври и след изтичането на тримесечния период, което е станало тези дни, Google излезе в публичното пространство с доклад за нея.В началото на януари, Google публикуваха в Мрежата доклад и PoC код, удостоверяващ експлоатируемостта на уязвимост, свързана с неоторизирането повишаване на привилегии от атакуваща страна, имаща акаунт в системата.Новата уязвимост, чието съществуване е проверено за платформите на Windows 7 и 8.1 представлява възможност за преодоляване на защитните механизми, по които приложенията криптират заделеното количество памет, така че да може да се обменят данни по безопасен начин между процеси, които текат в една и съща сесия."Проблемът се състои в това, че CNG.sys не проверява достоверността на токена при прихващане на сесийния идентификационен логин номер (logon session id), така че нормален потребител може да подправи идентификационното ниво и криптира или декриптира тези данни за настоящата logon сесия", пишат на страниците на Google инженерите от компанията.Хората от Project Zero обясняват, че са очаквали Microsoft да издадат фикс за въпросната уязвимост с януарския пакет с обновления Patch Tuesday, но такъв не се е появил.Обновление, адресиращо въпросната уязвимост е логично да се очаква във февруарския пакет с обновления за Windows, чието издаване е насрочено за 10.02.2015 г., макар и да не е сигурно, че ще видим и тогава издаването на решение за проблема.Това е третия случай в рамките на две седмици, в който Google разкриват уязвимост в майкрософтската платформа, като последният случай беше от неделя. Практиката на Google за тримесечен период за изправяне на уязвимости, след който следва публичното им разкриване, не се приема еднозначно от всички."Microsoft просто "мрънкат", заради своята неспособност да адресират бъговете навреме, след като цяло десетилетие използва доминиращата си позиция, за да диктува начина, по който трябва компаниите да се справят с уязвимостите. Днес обаче Google определят стандартите в индустрията по отношение на уязвимостите", сподели тази седмица мнението си един от поддръжниците на действията на Google - Робърт Греъм от Errata Security. |
|
