Google odhalil neopravenou 0denní zranitelnost ve Windows

Google odhalující neopravenou 0denní zranitelnost ve Windows není ve skutečnosti nová věc, dělá to od loňského roku. Dokonce i Microsoft kritizoval jejich chování, které ohrožuje miliony uživatelů Windows. Google dnes zveřejněn nová 0denní zranitelnost ve Windows, která stále není opravena. Google to oznámil Microsoftu v pátek 21. října a v souladu se svými 7denními zásadami to dnes zveřejnil. Myslím, že jejich politika pro aktivně využívaná kritická zranitelnost není dobré jak pro výrobce softwaru, tak pro koncové uživatele. I když vědí, že tato zranitelnost je obzvláště závažná a je aktivně využívána, chtějí ji zveřejnit. Nechápu, jak může softwarová společnost opravit bezpečnostní chybu v softwaru, který má miliony řádků kódu a běží na stovkách milionů strojů různých konfigurací během 7 dnů.

Chyba zabezpečení systému Windows je eskalace místních oprávnění v jádře systému Windows, kterou lze použít jako únikovou cestu v karanténě zabezpečení. Lze jej spustit pomocí systémového volání win32k.sys NtSetWindowLongPtr() pro index GWLP_ID na úchytu okna s GWL_STYLE nastaveným na WS_CHILD. Sandbox Chrome blokuje systémová volání win32k.sys pomocí Uzamčení Win32k zmírnění v systému Windows 10, které zabraňuje zneužití této chyby zabezpečení sandbox escape.

Doufejme, že společnost Microsoft brzy vydá opravu této chyby zabezpečení prostřednictvím služby Windows Update.