Google-folk afslører igen Windows-sårbarhed før Microsoft får den fikset

En sårbarhed i Windows er blevet offentliggjort af Google, før Microsoft er klar med en patch.

Googles sikkerhedsfolk i Project Zero har løftet sløret for en sårbarhed i Windows, før Microsoft har fået den fikset. Det er sket før.

Denne gang drejer det sig om en fejl, der gør det muligt for en angriber at læse hukommelsen på systemet. Det fortæller The Register.

Som nogen vil vide, så arbejder Project Zero med en tidsmæssig deadline, der betyder, at den ansvarlige for at få lukket en sårbarhed - i dette tilfælde Microsoft - har 90 dage til at gøre noget ved problemet, før de Google-ansatte sikkerhedsfolk afslører sårbarheden for offentligheden.

Den konkrete sårbarhed er gravet frem af Mateusz Jurczyk. Sårbarheden gør en angriber i stand til at tilgå hukommelsen via EMF-filer, som relaterer sig til et værktøj i Windows Graphics Component GDI library (gdi32.dll).

Jurczyk oplyser, at Microsoft har fikset lignende problemer, han fandt sidste år. Han fortæller også, at Microsoft ikke fik løst alle problemerne, hvilket han oplyste Windows-virksomheden om 16. november 2016.

Og da Microsoft sidste tirsdag så valgte at udskyde den såkaldte patch-tirsdag, hvor sikkerhedshuller bliver udbedrede i Windows, så blev 90-dages-grænsen overskredet, og bug'en blev afsløret i detaljer.

Det er som nævnt ikke første gang, potentielle sikkerhedshuller i Windows er blevet afsløret i Google-regi, før Microsoft var klar med et fiks. The Register oplyser, at Google i slutningen af oktober 2016 offentliggjorde en Windows-sårbarhed blot 10 dage efter, den var blevet opdaget.

Sårbarheden kunne bruges til at opnå admin-adgang i Windows via et rettighedseskaleringsangreb, lokalt.

Googles begrundelse for ikke at vente de 90 dage var, at virksomheden havde observeret, at fejlen blev udnyttet i praksis.

Dengang var Microsoft kritisk over for Googles offentliggørelse.

»Vi tror på koordineret sårbarhedsoffentliggørelse, og dagens offentliggørelse af Google, udsætter kunder for potentiel risiko,« lød det i en udtalelse fra Microsoft.

The Register oplyser, at mediet endnu ikke har registeret en melding fra Microsoft i forhold til den seneste sårbarhedsoffentliggørelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize