Google afslører kritisk Windows-sårbarhed før Microsoft-patch

En kritisk sårbarhed i Windows er blevet afsløret af Google før Microsoft er klar med en patch.

Opdateret med Microsofts kommentar til VentureBeat.

Google har valgt at afsløre en kritisk sårbarhed i Windows, før Microsoft har patched hullet. Det fortæller Google om i et blogindlæg.

Her fremgår det, at Google 21. oktober rapporterede 0-dages sårbarheder til henholdsvis Adobe og Microsoft. Sårbarhederne var ikke tidligere offentligt kendte. Adobe opdaterede Flash 26. oktober for at lukke sårbarheden, benævnt CVE-2016-7855.

»Efter 7 dage, per vores offentliggjorde politik for aktivt udnyttede kritiske sårbarheder, så offentliggør vi i dag eksistensen af den tilbageværende kritiske sårbarhed i Windows, som der ikke er frigivet en advisory eller et fiks til. Denne sårbarhed er særligt alvorlig, fordi vi ved, at den bliver aktivt udnyttet,« skriver Neel Mehta og Billy Leonard fra Googles Threat Analysis Group i indlægget, der er dateret i går, 31. oktober.

Sårbarheden muliggør lokal rettighedseskalering i Windows-kernen. Det kan bruges til at slippe ud af et sandbox-miljø. Sårbarheden kan udløses via et systemkald i win32k.sys

I den forbindelse bemærker Google-folkene, at virksomhedens egen Crhome-browsers sandbox-model blokerer for win32k.sys-systemkald, og dermed skulle det ikke være muligt at bryde ud af sandboxen ved at forsøge at udnytte sårbarheden i henhold til Googles browser.

VentureBeat bringer en kommentar til Googles offentliggørelse af sårbarheden fra Microsoft.

»Vi tror på en koordineret sårbarheds-offentliggørelse, og dagens offentliggørelse fra Google bringer kunder i potentiel fare,« siger en Microsoft-talsperson til VentureBeat.

Mediet fortæller desuden, at en kilde tæt på Microsoft oplyser, at den exploit, Google beskriver, forudsætter Flash-sårbarheden. Og eftersom den altså er patched, så er Windows-sårbarheden imødegået. Når det er sagt, bemærker VentureBeat, så bliver Microsoft stadig nødt til at patche sikkerhedshullet, da det vil kunne udnyttes i forbindelse med andre typer angreb.

Er syv dage fair?

På Reddit diskuteres det, hvorvidt det er fair, at Google efter syv dage offentliggør en Windows-sårbarhed, som aktivt bliver udnyttet.

En bruger, der kalder sig rituals, skriver:

»Google har ikke gjort noget forkert, dette er en standardprotokol. De gav et heads up til Microsoft og/eller Adobe for at lade dem frigive et fiks.«

Til dette svarer en anden bruger, der går under navnet elcapitaine:

»Dette er Googles politik. Ikke en 'standardprotokol'.

Det kan helt sikkert diskuteres, hvorvidt syv dage er tid nok at give en softwareleverandør til at patche sine produkter før afsløringen af sårbarheden.

Taget i betragtning at de selv (red. Google) ofte tager langt længere tid end syv dage om at patche indsendte sårbarheder, så er det min mening, at det ikke er (red. tilstrækkeligt med syv dage).«

En anden bruger, datf, stiller sig tvivlsom i forhold til, hvorvidt sårbarheden overhovedet er et problem, når den er blevet lukket i Adobes Flash.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Robert Winther

Det kan helt sikkert diskuteres, hvorvidt syv dage er tid nok at give en softwareleverandør til at patche sine produkter før afsløringen af sårbarheden.

Det kan det helt sikkert, men det er så heller ikke det der har fået Google til at afsløre sårbarheden, eller som de selv skriver om deres politik:

As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves.

Det er altså fordi Microsoft tilsyneladende endnu ikke selv har erkendt at der er en sårbarhed (og at de forhåbentlig arbejder på en patch) at Google har valgt at afsløre den.

Og så er det værd at bemærke, at der er tale om en Windows-sårbarhed der bliver aktivt udnyttet, så jeg synes det er helt OK at Google går ud og advarer.

  • 11
  • 0
Mikal Schacht Jensen

De mennesker der har onde hensigter med sikkerhedshuller har adgang til informationen dem, længe inden de bliver offentligt tilgængelige. Så der sker ingen reel skade ved at offentliggøre det. Dog kan det virke som ekstra press, på softwareproducenten, til at få udviklet en patch.

  • 5
  • 1
Rune Jensen

Næh. det er ikke specielt fair. Og jeg forstår ikke, hvorfor Google gør det.

De har optjent ganske mange goddwill point igennem årene. Men sådan noget som det her, det skader deres image.

7 dage er alt for lidt.

Man er nødt til at lave tests af, hvordan et evt. fix virker på andre områder, førdet releases.

Jeg kunne godt have google mistænkt for stadig at have et horn i siden på Microsoft fra deres tidligere skærmydsler.

Sørgeligt, når to så store giganter laver hvad der svarer til børnehaveslåskamp.

Jeg har tidligere sagt det samme om Microsoft, og bestemt med rette. Men... Der er gpet ganske lang tid, uden Microsoft decideret har plaget Google, er der ikke... Og balmer, som var nok specielt årsag til kampen, er der jo ikke længere. Så hvorfor genopgrave stridsøksen.

Har Google ikke også deres gene brugere at tænke på?

Det her går i første omgang ud over Microsofts brugere.

Næste gang er det Microsoft, som gør det samme imod Google, og skader deres brugere.

Latterligt.

  • 1
  • 4
Sune Marcher

De mennesker der har onde hensigter med sikkerhedshuller har adgang til informationen dem, længe inden de bliver offentligt tilgængelige. Så der sker ingen reel skade ved at offentliggøre det.


Både og - der er ret mange mennesker med onde hensigter. Der er helt sikkert en del onde mennesker der ikke havde opdaget dette specifikke sikkerhedshul før Googles udmelding. Der er ikke en PoC med Googles blog post:

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

...men det efterlader ikke meget til fantasien.

Jeg synes som udgangspunkt at deres 7-dages politik for "critical vulnerabilities under active exploitation" kritiske er udmærket, netop fordi den lægger pres på at få lukket huller... men informationsniveauet her er nok en smule for højt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize