Google, Windows'ta yamalanmamış 0 günlük güvenlik açığını açıkladı

Google'ın Windows'ta 0 günlük yama uygulanmamış bir güvenlik açığı açıklaması gerçekten yeni bir şey değil, bunu geçen yıldan beri yapıyorlar. Microsoft bile eleştirdi milyonlarca Windows kullanıcısını riske atma davranışları. Google bugün yayınlanan Windows'ta hala yama yapılmamış yeni bir 0 günlük güvenlik açığı. Google, 21 Ekim Cuma günü Microsoft'a bildirdi ve 7 gün politikasına göre bugün açıkladılar. bence onların aktif olarak yararlanılan kritik güvenlik açıkları için politika hem yazılım üreticileri hem de son kullanıcılar için iyi değildir. Bu güvenlik açığının özellikle ciddi olduğunu ve aktif olarak istismar edildiğini bilmelerine rağmen, bunu duyurmak istiyorlar. Milyonlarca satır kodu olan ve yüz milyonlarca farklı konfigürasyonda makinede çalışan bir yazılımdaki bir güvenlik hatasını 7 gün içinde bir yazılım firmasının nasıl düzeltebileceğini anlamıyorum.

Windows güvenlik açığı, Windows çekirdeğinde bir güvenlik sanal alanı kaçışı olarak kullanılabilen yerel bir ayrıcalık yükseltmesidir. GWL_STYLE WS_CHILD olarak ayarlanmış bir pencere tanıtıcısında GWLP_ID dizini için win32k.sys sistem çağrısı NtSetWindowLongPtr() aracılığıyla tetiklenebilir. Chrome'un korumalı alanı, aşağıdakileri kullanarak win32k.sys sistem çağrılarını engeller: Win32k kilitlenmesi Windows 10'da bu korumalı alandan kaçış güvenlik açığından yararlanılmasını engelleyen azaltma.

Umarım, Microsoft yakında Windows Update aracılığıyla bu güvenlik açığı için bir düzeltme yayınlayacaktır.