MojWindows

Tím bezpečnostných expertov Threat Analysis Group patriaci pod Google sa zameriava na hľadanie možných zraniteľností v rôznych produktoch a výnimkou nie je ani operačný systém Windows. Akonáhle je chyba odhalená, posúvajú potrebné informácie priamo tvorcom softvéru, aby ju odstránili.  Na prvý pohľad ide o obrovskú pomoc pri udržaní bezpečnosti produktov, ktorú by ocenil nejeden výrobca softvéru. Problémom sú ale prísne nastavené termíny na uskutočnenie nápravy.

Google po nahlásení extrémne kritickej chyby tvorcom dotknutého softvéru necháva 7 dní, a pokiaľ v tomto termíne nedôjde k náprave alebo zverejneniu krokov ako sa brániť, informácie o zraniteľnosti zverejní na svojom blogu, aby o nej používatelia vedeli a mohli sa brániť svojpomocne. K informáciám sa ale môže dostať hocikto, vrátane ľudí s nekalými úmyslami.

Napriek tomu, že nedochádza k zverejneniu celého procesu, ako je chyba zneužívaná, už to, že sa o zraniteľnosti verejne vie, vyvolá zvýšený záujem zo stany kriminálnych živlov. Mnohé spoločnosti navyše argumentujú, že pri rozsiahlom softvéri je 7 dní jednoducho príliš málo času na odstránenie problému a zverejnením sa tak zbytočne zvyšuje riziko ďalšieho zneužívania.

V minulosti sa kvôli tomu Google s Microsoftom už niekoľkokrát pochytili, a teraz sa situácia opakuje. Google opäť zverejnil informácie o doteraz neopravenej zraniteľnosti, ktorú označuje ako obzvlášť závažnú. Dáta spoločnosti Google totiž jasne ukazujú, že dochádza k jej aktívnemu zneužívaniu. Chyba sa nachádza v jadre systému a útočníkovi umožňuje získať vyššie oprávnenia a následne preniknúť z izolovaného prostredia, čím získa prístup k zariadeniu obete.

Google potrebné informácie Microsoftu interne nahlásil 21. októbra, a keďže viac ako 10 dní nedošlo k náprave alebo poskytnutiu informácií ako sa brániť,  zverejnil ju následne na svojom blogu. Dôvodom mali byť obavy z možnej nečinnosti Microsoftu.

Microsoft po zverejnení informácií Google kritizoval, s odôvodnením, že tento krok len zbytočne  zvýšil riziko ďalšieho zneužívania. Zároveň oznámil, že chyba sa netýka používateľov Windows 10 s výročnou aktualizáciu a pre ostatných bude 8. novembra vydaná bezpečnostná aktualizácia. Okrem toho bola pre jej zneužívanie vraj vyžadovaná kombinácia s ďalšou chybou v  Adobe Flash, ktorá bola opravená už 26. októbra. Napriek tomu, je táto chyba vo Windowse značným problémom, keďže môže byť zneužitá pri iných typoch útokov.

Zdroj: venturebeat

03.11.2016

+