Google розкриває невиправлену 0-денну вразливість у Windows

Google розкриває невиправлену вразливість 0-day у Windows насправді не нова річ, вони роблять це з минулого року. Навіть Microsoft criticized своєю поведінкою піддають ризику мільйони користувачів Windows. Google сьогодні опублікований нова 0-денна вразливість у Windows, яка досі не виправлена. Google повідомила про це Microsoft у п’ятницю, 21 жовтня, і відповідно до своєї 7-денної політики вони розкрили це сьогодні. Я думаю їх політика для активно використовуваних критичних уразливостей не підходить як для виробників програмного забезпечення, так і для кінцевих користувачів. Навіть знаючи, що ця вразливість є особливо серйозною та активно використовується, вони хочуть оприлюднити її. Я не розумію, як розробник програмного забезпечення може виправити помилку безпеки в програмному забезпеченні, яке містить мільйони рядків коду та працює на сотнях мільйонів машин із різними конфігураціями протягом 7 днів.

Уразливість Windows — це локальне підвищення привілеїв у ядрі Windows, яке можна використовувати як вихід із пісочниці безпеки. Його можна запустити за допомогою системного виклику win32k.sys NtSetWindowLongPtr() для індексу GWLP_ID на ручці вікна з GWL_STYLE, встановленим на WS_CHILD. Пісочниця Chrome блокує системні виклики win32k.sys за допомогою Блокування Win32k пом'якшення у Windows 10, що запобігає використанню цієї вразливості вихідного коду пісочниці.

Сподіваємось, Microsoft незабаром випустить виправлення цієї вразливості через Windows Update.