Googles hotbedömningsgrupp har nyligen upptäckt en uppsättning skadliga sårbarheter i Adobe Flash och Microsoft Windows-kärnan som aktivt användes för skadliga attacker mot Chrome-webbläsaren. Google har meddelat offentligt säkerhetsfelet i Windows bara tio dagar efter att ha avslöjat det till Microsoft den 21 oktober. Google påpekade också att denna brist aggressivt skulle kunna användas av angripare och kodare för att kompromissa med säkerheten i Windows-system genom att få administratörsnivå åtkomst till datorer som använder skadlig programvara.

Detta kan uppnås genom att låta mindre än ärliga utvecklare fly från Windows säkerhetssandlåda som endast kör appar på användarnivå utan att behöva administratörsåtkomst. Dykning lite djupare i tekniska egenskaper, win32k.sys, ett äldre Windows-systembibliotek som huvudsakligen används för grafik, får ett specifikt samtal som ger full åtkomst till Windows-miljön. Google Chrome har redan en försvarsmekanism på plats för den här typen av brister och blockerar detta angrepp på Windows 10 med en modifiering av Chromium-sandlådan som kallas “Win32k lockdown”.

Google beskrev denna speciella Windows-sårbarhet enligt följande:

“Windows-sårbarheten är en lokal upptrappning av privilegier i Windows-kärnan som kan användas som en säkerhetssandbox-flykt. Det kan triggas via win32k.sys systemsamtal NtSetWindowLongPtr () för indexet GWLP_ID på ett fönsterhandtag med GWL_STYLE inställt på WS_CHILD. Kroms sandlåda blockerar win32k.sys systemsamtal med hjälp av Win32k-låstreducering i Windows 10, vilket förhindrar utnyttjande av denna sårbarhetssårbarhet för sandlåda."

Även om detta inte är Googles första möte med en Windows-säkerhetsbrist, släppte de ett offentligt uttalande angående en sårbarhet och baserade senare min Microsoft för att ha släppt en offentlig not innan den officiella sjudagarsgränsen som beviljas programvarutillverkare för att utfärda en fix.

"Efter 7 dagar, enligt vår publicerade policy för aktivt utnyttjade kritiska sårbarheter, avslöjar vi idag förekomsten av en återstående kritisk sårbarhet i Windows för vilken ingen rådgivning eller fix har ännu släppts, " skrev Neel Mehta och Billy Leonard från Googles hotanalys Grupp. ”Denna sårbarhet är särskilt allvarlig eftersom vi vet att den aktivt utnyttjas.”

En nolldagars sårbarhet är ett offentligt avslöjat säkerhetsfel som är nytt för användare. Och nu när sju-dagarsperioden har gått, finns det fortfarande ingen korrigeringsfix tillgänglig angående detta fel från Microsoft.

Flash-sårbarheten (som också avslöjades 21 oktober) som Google delade med Adobe korrigerades den 26 oktober. Så användare kan helt enkelt uppdatera till den senaste versionen av Flash. Men än en gång har Microsoft aktivt påpekat att för en enkel webbplugin som Flash, att utfärda en patch inom sju dagar inte är ett utmanande mål, men för ett komplext operativsystem som Windows är det nästan omöjligt att koda, testa och utfärda en patch för en säkerhetsbrist inom en vecka.

Inte bara Microsoft utan många andra stora programvaruorganisationer har aktivt motsatt sig denna kontroversiella policy från Google för att avslöja brister inom en veckas gräns, men Google har hävdat att det är säkrare för allmän säkerhet att skapa medvetenhet om ett kvarvarande fel som kan äventyra användarens säkerhet.