De Threat Analysis Group van Google heeft onlangs een aantal schadelijke kwetsbaarheden in Adobe Flash en de Microsoft Windows-kernel ontdekt die actief werden gebruikt voor malware-aanvallen op de Chrome-browser. Google heeft het beveiligingslek in Windows slechts 10 dagen nadat het op 21 oktober aan Microsoft was bekendgemaakt, publiekelijk aangekondigd. Google wees er ook op dat dit lek agressief kan worden gebruikt door aanvallers en coders om de beveiliging in Windows-systemen te compromitteren door toegang op beheerdersniveau te krijgen computers die malware gebruiken.

Dit kan worden bereikt door minder dan eerlijke ontwikkelaars te laten ontsnappen uit de beveiligingssandbox van Windows die alleen apps op gebruikersniveau uitvoert zonder beheerderstoegang. Een beetje dieper in de technische details duiken, de win32k.sys, een oudere ondersteunende Windows-systeembibliotheek die voornamelijk wordt gebruikt voor afbeeldingen, krijgt een specifieke oproep die volledige toegang tot de Windows-omgeving verleent. Google Chrome heeft al een verdedigingsmechanisme voor dit soort fout en blokkeert deze aanval op Windows 10 met behulp van een wijziging in de Chromium-sandbox genaamd "Win32k lockdown".

Google heeft deze specifieke kwetsbaarheid van Windows als volgt beschreven:

“Het Windows-beveiligingslek is een escalatie van lokale bevoegdheden in de Windows-kernel die kan worden gebruikt als ontsnapping van een beveiligingssandbox. Het kan worden geactiveerd via de win32k.sys-systeemaanroep NtSetWindowLongPtr () voor de index GWLP_ID op een vensteringang met GWL_STYLE ingesteld op WS_CHILD. Sandbox van Chrome blokkeert systeemaanroepen win32k.sys met behulp van Win32k lockdown mitigation op Windows 10, waardoor misbruik van deze kwetsbaarheid voor ontsnapping uit sandbox wordt voorkomen. ”

Hoewel dit niet de eerste ontmoeting van Google met een Windows-beveiligingslek is, hebben ze een openbare verklaring over een kwetsbaarheid vrijgegeven en later werd Microsoft in de maling genomen wegens het vrijgeven van een openbare notitie vóór de officiële limiet van zeven dagen die aan softwarefabrikanten wordt verleend om een ​​oplossing te geven.

"Na 7 dagen, volgens ons gepubliceerde beleid voor actief geëxploiteerde kritieke kwetsbaarheden, onthullen we vandaag het bestaan ​​van een resterende kritieke kwetsbaarheid in Windows waarvoor nog geen advies of oplossing is vrijgegeven", schreven Neel Mehta en Billy Leonard van Google's Threat Analysis Group. "Deze kwetsbaarheid is vooral ernstig omdat we weten dat deze actief wordt misbruikt."

Een zero-day kwetsbaarheid is een openbaar gemaakt beveiligingslek dat nieuw is voor gebruikers. En nu de periode van zeven dagen is verstreken, is er nog steeds geen patch-fix beschikbaar met betrekking tot deze bug van Microsoft.

De Flash-kwetsbaarheid (ook bekendgemaakt op 21 oktober) die Google met Adobe heeft gedeeld, is op 26 oktober gepatcht. Gebruikers kunnen dus eenvoudig bijwerken naar de nieuwste versie van Flash. Maar nogmaals, Microsoft heeft er actief op gewezen dat voor een eenvoudige webplug-in zoals Flash, het binnen zeven dagen een patch uitgeven geen uitdagend doel is, maar voor een complex besturingssysteem zoals Windows is het bijna onmogelijk om te coderen, testen en uit te geven een patch voor een beveiligingslek binnen een week.

Niet alleen Microsoft, maar veel andere grote software-entiteiten hebben actief tegen dit controversiële beleid van Google om fouten binnen een weeklimiet te onthullen, maar Google heeft volgehouden dat het veiliger is voor de openbare veiligheid om bewustzijn te creëren over een aanhoudende bug die de veiligheid van de gebruiker in gevaar kan brengen.