Google hat eine Zero-Day-Sicherheitslücke in Windows entdeckt, die derzeit nicht gepatcht ist und aktiv ausgenutzt wird. Es ist weit zu sagen, dass Microsoft mit dieser Situation nicht allzu zufrieden ist und behauptet, dass die Aktionen von Google "potentielle Risiken für die Kunden darstellen".
Irgendwann Anfang Oktober entdeckte Google schwerwiegende Schwachstellen in Windows und Flash. Am 21. Oktober informierte Google Microsoft und Adobe über wichtige Sicherheitsfragen. 5 Wege zum Schutz vor Zero-Day Exploit 5 Wege zum Schutz vor Zero-Day Exploit Zero-Day-Exploits, Software-Schwachstellen, die von Hackern zuvor ausgenutzt werden Ein Patch wird verfügbar und stellt eine echte Bedrohung für Ihre Daten und Ihre Privatsphäre dar. Hier können Sie Hacker in Schach halten. Lesen Sie mehr in beiden Produkten. Am 26. Oktober hat Adobe Flash aktualisiert, um das Problem zu beheben. Aber Microsoft hat das Problem, das im Windows-Kernel lauert, immer noch nicht behoben.
Ungeachtet dessen hat Google in einem Beitrag, der am 31. Oktober im Blog von Google Security veröffentlicht wurde, Details zu den Sicherheitsanfälligkeiten veröffentlicht. Dies entspricht der Unternehmenspolitik, solche Probleme sieben Tage nach Bekanntgabe der betroffenen Produkte öffentlich bekannt zu machen.
Microsoft wird mit Google verärgert
Google beschreibt die Windows-Sicherheitslücke wie folgt:
"Die Windows-Sicherheitsanfälligkeit ist eine lokale Eskalationsstufe im Windows-Kernel, die als Sicherheits-Sandbox-Escape verwendet werden kann. Sie kann über den Win32k.sys-Systemaufruf NtSetWindowLongPtr () für den Index GWLP_ID in einem Fensterhandle mit GWL_STYLE auf WS_CHILD ausgelöst werden. Die Sandbox von chrome blockiert win32k.sys-Systemaufrufe mithilfe der Win32k-Sperrschadensminderung unter Windows 10, wodurch die Ausnutzung dieser Sandbox-Escape-Schwachstelle verhindert wird. "
Was wahrscheinlich genug Informationen für Hacker bietet, um herauszufinden, wie man die Schwachstelle zu ihrem Vorteil nutzt. Dies hat Microsoft offensichtlich verärgert, was VentureBeat sagte:
"Wir glauben an eine koordinierte Offenlegung von Sicherheitslücken und die heutige Offenlegung durch Google stellt Kunden vor ein mögliches Risiko. Windows ist die einzige Plattform mit einer Kundenverpflichtung, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte proaktiv so bald wie möglich zu aktualisieren. Wir empfehlen Kunden, Windows 10 und den Microsoft Edge-Browser für den besten Schutz zu verwenden. "
Das ist schlecht für alle Beteiligten
Adobe war in der Lage, die Schwachstelle schnell zu beheben, aber dann ist es viel einfacher, Flash zu patchern als Windows zu patchen. Daher kann Microsoft ein berechtigtes Argument dafür haben, dass eine solche schnelle Veröffentlichung für alle Beteiligten schlecht ist. Das ist abgesehen von Kriminellen, die versuchen, die Sicherheitslücken auszunutzen.
Es ist zu beachten, dass die Flash-Sicherheitsanfälligkeit erforderlich ist, um die Windows-Sicherheitsanfälligkeit auszunutzen. Zumindest in seiner jetzigen Form. Also, solange Sie sicherstellen, dass Sie die neueste Version von Adobe Flash haben Warum Flash sterben muss (und wie Sie es loswerden können) Warum Flash sterben muss (und wie Sie es loswerden können) Die Beziehung des Internets mit Flash ist seit einiger Zeit steinig. Früher war es ein universeller Standard im Internet. Jetzt sieht es so aus, als könnte es zum Hackklotz gehen. Was hat sich geändert? Lesen Sie mehr, Sie sollten vor Schaden für die Zeit sicher sein. Allerdings muss Microsoft die Windows-Sicherheitsanfälligkeit früher oder später beheben.
Hat Google das Richtige getan, um diese Schwachstelle so schnell zu enthüllen? Hat Microsoft ein gültiges Argument, dass sieben Tage nicht lang genug sind, um solche Probleme zu beheben? Haben Sie überprüft, ob Adobe Flash auf dem neuesten Stand ist? Bitte lassen Sie uns in den Kommentaren unten wissen!
Bildquelle: Pirátská Strana via Flickr