Google divulga vulnerabilidade de 0 dia sem correção no Windows

O Google divulgando uma vulnerabilidade de 0 dia sem correção no Windows não é realmente uma coisa nova, eles vêm fazendo isso desde o ano passado. Microsoft mesmo criticado seu comportamento por colocar milhões de usuários do Windows em risco. Google hoje publicado uma nova vulnerabilidade de 0 dia no Windows que ainda não foi corrigida. O Google informou à Microsoft na sexta-feira, 21 de outubro, e de acordo com sua política de 7 dias, eles divulgaram hoje. eu acho que eles política para vulnerabilidades críticas exploradas ativamente não é bom tanto para os fabricantes de software quanto para os usuários finais. Mesmo sabendo que essa vulnerabilidade é particularmente grave e está sendo explorada ativamente, eles querem divulgá-la. Não entendo como uma empresa de software pode corrigir um bug de segurança em um software que tem milhões de linhas de código e roda em centenas de milhões de máquinas de configurações diferentes em 7 dias.

A vulnerabilidade do Windows é um escalonamento de privilégios local no kernel do Windows que pode ser usado como um escape da área de segurança de segurança. Ele pode ser acionado por meio da chamada de sistema win32k.sys NtSetWindowLongPtr() para o índice GWLP_ID em um identificador de janela com GWL_STYLE definido como WS_CHILD. A sandbox do Chrome bloqueia chamadas de sistema win32k.sys usando o Bloqueio do Win32k mitigação no Windows 10, que impede a exploração dessa vulnerabilidade de escape de sandbox.

Felizmente, a Microsoft lançará uma correção para essa vulnerabilidade via Windows Update em breve.