Google знову розкрила непропатченную уразливість в Windows


В драйвері win32k.sys знову проблема

На перший погляд може здатися, що компанія Google надійшла безвідповідально і порушила IT-етикет, не давши Microsoft часу на виправлення бага. Фахівці Google Threat Analysis Group опублікували факт наявності небезпечної уразливості в Windows всього через 10 днів після того, як повідомили про неї в Microsoft. У редмондської компанії просто фізично не було часу, щоб перевірити баг, протестувати його на всіх конфігураціях, підготувати патч, протестувати його на всіх конфігураціях — і викотити оновлення Windows Update. Уразливість досі не закрита.

Але є один нюанс. Як і в багатьох інших випадках, виявлена уразливість вже активно експлуатувалася хакерами. Насправді більшість закриття вразливостей експлуатуються зловмисниками до того, як виходять патчі. Так що дії Google цілком доречні, враховуючи високу небезпеку знайденого бага. Ці дії лише змусять Microsoft ворушитися і випустити патч швидше, ніж вони могли б зробити це без публічного скандалу».

регламенту Google Threat Analysis Group, термін публікації інформації про активно експлуатованих вразливості становить 7 днів. Можна сказати, що в даному випадку компанії Microsoft дали поблажку.

Відомості про раніше невідомих 0-day уразливість в продуктах Microsoft і Adobe були відправлені в ці компанії 21 жовтня 2016 року. Компанія Adobe оновила Flash 26 жовтня 2016 року (патч для CVE-2016-7855). Це оновлення доступно через систему автоматичного оновлення Adobe і автооновлення Chrome. Компанія Microsoft не закрила дірку досі.

Google повідомляє деякі деталі. Мова йде про уразливості з підвищенням привілеїв в драйвері ядрі Windows, що дозволяє вийти з пісочниці. Вона спрацьовує за допомогою спеціально сформованого системного виклику NtSetWindowLongPtr() від драйвера win32k.sys, який встановлює індекс GWLP_ID WS_CHILD для вікна з дескриптором GWL_STYLE.

Щоб запобігти експлуатацію цієї уразливості до випуску патча, пісочниця Chrome тепер блокує системні виклики win32k.sys з допомогою процедури локдауна win32k.sys під Windows 10. Таким чином вихід з пісочниці неможливий.

Компанія Google закликає користувачів перевірити нормальну роботу систем автоматичного оновлення і переконатися, що Flash оновлено до останньої версії — вручну або автоматично. І відразу ж встановити свіжий патч для Windows, як тільки він стане доступним.

Судячи з усього, дана уразливість актуальна тільки для драйвера ядра Windows 10. У той же час, Adobe Flash Player був уразливий під всіма версіями Windows (7, 8 і 10), а також під Linux. Уразливість CVE-2016-7855 також є Adobe Flash Player Desktop Runtime 23.0.0.185 і більш ранніх версіях Windows і Macintosh. Для експлуатації в Windows 10 потрібно непропатченный Flash Player.

Adobe спрацювала дуже швидко, тому що уразливість вже активно використовувалася в робочих зловредах.

Компанія Google не перший раз розголошує інформацію про незакритих уразливість в Windows. Те ж саме вона зробила в минулому році, за що її піддали критиці колеги з Microsoft. Нібито такі дії піддають небезпеки мільйони користувачів Windows. Того разу ситуація була навіть цікавіше, тому що Microsoft спеціально просила Google почекати ще кілька днів з розголошенням — дати їм час випустити патч для Windows 8.1, але Google не відступилася від принципів.

Здається, що у двох компаній просто різні погляди на проблему. Google вважає, що інформування користувачів про небезпеку тільки підвищує загальну безпеку і змусить раніше випустити патч. Microsoft вважає, що нічого виносити брудну білизну на публіку. Зараз Microsoft прокомментировала в такому ж стилі: «Ми вважаємо правильним координацію дій при розголошенні інформації, а сьогоднішній вчинок Google може піддати користувачів потенційного ризику».

За останні кілька місяців це вже третя вразливість з ескалацією привілеїв win32k.sys: попередні патчі випускалися у червні і серпні.

Порівняно з Microsoft, Google ніби більш суворі вимоги до безпеки. Зрозуміло, що у всіх браузерах приблизно однакову кількість вразливостей. Але є різниця в тому, як компанія-розробник відноситься до таких питань. Політика Google заснована на початковій установці на існування вразливостей. Виходячи з цього, ставиться завдання як можна більше ускладнити їх експлуатацію.

Наприклад, статистика за 2015-2016 роки показує мінімальну кількість вразливостей в Edge і Safari: 134 та 191, відповідно. У той же час IE і Chrome знайдено 346. Але оцініть ступінь небезпеки цих вразливостей. У Edge уразливості на виконання коду — 74 (55,22% від загальної кількості), у IE — 239 (69,08%), у Safari — 132 (69,11%). У той час як у Chrome — всього десять штук за два роки, з них вісім-у 2015 році і дві в 2016 році (2,89% від загальної кількості).



Повна версія таблиці. Примітка: у таблиці не враховано знайдені уразливості у всіх версіях браузерів

Патч для останньої уразливості в Windows має вийти найближчим часом.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.