חוקרי האבטחה Project Zero של גוגל מטילים פצצה נוספת על מיקרוסופט

נראה שמיקרוסופט לא רק צריכה להילחם בהאקרים אלא גם בגוגל כדי לשמור על אבטחת Windows.

אגף מחקר האבטחה Project Zero של החברה שחרר שוב פגיעות של יום אפס לטבע.

הבאג, בספריית GDI של מיקרוסופט, אינו תוקן כעת עם הוכחת קונספט זמינה.

זה משפיע על Windows Vista Service Pack 2 עד ל-Windows 10 אבל למרבה המזל דורש גישה פיזית כדי לנצל.

הבאג מאפשר להאקרים לגנוב מידע מהזיכרון, ומשפיע על כל אפליקציות המשתמשות בספריית GDI.

נושא זה הוא הסיבוב השני של פגיעות זו. בהזדמנות הראשונה למיקרוסופט הודיעו על הפגיעות ב-9 ביוני 2016 ושחררה תיקון ב-15 ביוני. לרוע המזל הפתרון לא פתר את הבעיה לחלוטין וגוגל דיווחה על הבעיה החדשה ב-16 בנובמבר 2016. מיקרוסופט לא הצליחה להוציא תיקון ב-3 החודשים שהוקצבו, ולכן גוגל פרסמה את הפגיעות לטבע היום.

בעוד שבהזדמנות זו, ייתכן שמיקרוסופט הייתה קצת איטית להגיב, בשנה שעברה גוגל נתנה למיקרוסופט פחות מ-10 ימים לתקן באג קריטי, מה שמרמז על מערכת יחסים אדוורסרית למדי שאין בה את האבטחה של משתמשי Windows בלב.

אני מקווה שהבאג יתוקן גם החודש או הבא, אבל ברור שמיקרוסופט לא יכולה לסמוך על כך שגוגל תיתן להם רפיון במחלקת האבטחה.