Google только что раскрыл большую ошибку Windows - и Microsoft не очень этому рады

Сегодня группа анализа угроз компании Google раскрыла критическую уязвимость в Windows в публичном сообщении на блоге безопасности компании. Сама ошибка очень специфична - позволяя злоумышленникам уйти от «песочниц» безопасности через изъян в системе Win32k - но она достаточно серьезна, чтобы быть классифицирована как критическая, и в соответствии с Google, она активно эксплуатируется. В результате Google огласил ее только через 10 дней после сообщения об ошибке в корпорацию Microsoft, чтобы патч мог быть закодирован и развернут, сообщает ITbukva.com.

Результатом является то, что, в то время как Google уже развернула исправление для защиты пользователей Chrome, сама Windows все еще уязвима - и теперь все это знают.

Раскрытие информации Google предоставляет только общее описание ошибки, предоставляя пользователям достаточно информации, чтобы распознать возможную атаку, но чтобы преступникам не было слишком легко ее повторить. Эксплойт ошибки также зависит от отдельного эксплойта в Adobe Flash, для которых компания также выпустила патч. Тем не менее, просто знание, что ошибка существует, вероятно, заставит многих преступников искать жизнеспособные способы использования ее против компьютеров, которым еще предстоит обновить Flash.

Короткий период милости соответствует политике Google, введенной в действие в 2013 году, позволяя критической уязвимости быть раскрытой только через семь дней после того, как о ней сообщили поставщику. В то же время, ряд исследователей подверг политику критике как чрезмерно резкую, утверждая, что семь дней - это недостаточно времени, чтобы должным образом реагировать на сложную уязвимость. Это первый крупный выпад на политику в течение трех лет, хотя инженеры компании Google защищали ее по мере необходимости с учетом активной эксплуатации ошибки.