Il gruppo di analisi delle minacce di Google ha recentemente scoperto una serie di vulnerabilità dannose in Adobe Flash e nel kernel di Microsoft Windows che venivano utilizzate attivamente per attacchi di malware contro il browser Chrome. Google ha annunciato pubblicamente il difetto di sicurezza in Windows solo 10 giorni dopo averlo rivelato a Microsoft il 21 ottobre. Google ha anche sottolineato che questo difetto potrebbe essere utilizzato in modo aggressivo da aggressori e programmatori per compromettere la sicurezza dei sistemi Windows ottenendo l'accesso a livello di amministratore al computer che utilizzano un malware.

Ciò può essere ottenuto consentendo agli sviluppatori meno che onesti di sfuggire alla sandbox di sicurezza di Windows che esegue solo app a livello di utente senza bisogno dell'accesso di amministratore. Immergendosi un po 'più a fondo nei tecnicismi, il win32k.sys, una libreria di sistema Windows di supporto legacy utilizzata principalmente per la grafica, viene emessa una chiamata specifica che garantisce il pieno accesso all'ambiente Windows. Google Chrome ha già messo in atto un meccanismo di difesa per questo tipo di difetto e blocca questo attacco su Windows 10 usando una modifica al sandbox di Chromium chiamata "Win32k lockdown".

Google ha descritto questa particolare vulnerabilità di Windows come segue:

“La vulnerabilità di Windows è un'escalation dei privilegi locali nel kernel di Windows che può essere utilizzata come escape sandbox di sicurezza. Può essere attivato tramite la chiamata di sistema win32k.sys NtSetWindowLongPtr () per l'indice GWLP_ID su un handle di finestra con GWL_STYLE impostato su WS_CHILD. La sandbox di Chrome blocca le chiamate di sistema win32k.sys utilizzando la mitigazione del blocco Win32k su Windows 10, che impedisce lo sfruttamento di questa vulnerabilità di escape della sandbox."

Sebbene questo non sia il primo incontro di Google con un difetto di sicurezza di Windows, hanno rilasciato una dichiarazione pubblica relativa a una vulnerabilità e in seguito è stato condannato la mia Microsoft per aver rilasciato una nota pubblica prima del limite ufficiale di sette giorni concesso ai produttori di software per emettere una correzione.

"Dopo 7 giorni, secondo la nostra politica pubblicata per le vulnerabilità critiche sfruttate attivamente, stiamo oggi rivelando l'esistenza di una vulnerabilità critica rimanente in Windows per la quale non è ancora stata rilasciata alcuna consulenza o correzione", hanno scritto Neel Mehta e Billy Leonard di Google Threat Analysis Gruppo ". Questa vulnerabilità è particolarmente grave perché sappiamo che viene sfruttata attivamente".

Una vulnerabilità zero-day è un difetto di sicurezza divulgato pubblicamente nuovo per gli utenti. E ora che è trascorso il periodo di sette giorni, non è ancora disponibile alcuna correzione di patch relativa a questo bug di Microsoft.

La vulnerabilità di Flash (divulgata anche il 21 ottobre) che Google ha condiviso con Adobe è stata patchata il 26 ottobre. Pertanto, gli utenti possono semplicemente aggiornare all'ultima versione di Flash. Ma ancora una volta, Microsoft ha attivamente sottolineato che per un semplice plug-in Web come Flash, emettere una patch entro sette giorni non è un obiettivo impegnativo, ma per un sistema operativo complesso come Windows, è quasi impossibile codificare, testare e rilasciare una patch per un difetto di sicurezza entro una settimana.

Non solo Microsoft ma molte altre principali entità software si sono attivamente opposte a questa controversa politica di Google di rivelare difetti entro il limite di una settimana, ma Google ha affermato che è più sicuro per la sicurezza pubblica creare consapevolezza su un bug persistente che potrebbe compromettere la sicurezza dell'utente.