A Google nem kíméli a Microsoftot

A biztonsági szakemberek szigorúan betartják, hogy ha a javítások nem jelennek meg három hónapon belül, nyilvánosságra hozzák a hibákat.

A héten az SHA-1 feltörése és a Cloudflare botránya mellett történt még két fontos biztonsági esemény is, amely szintén a Google-hoz kötődik: az elsőnél a biztonsági kutatóik nyilvánosságra hoztak egy javítatlan sebezhetőséget a Windows grafikus alrendszerében, a Graphics Device Interface (GDI) könyvtárában, és ez a hiba Vista SP2-től felfelé az összes Windows-verziót érinti.

A híradások szerint a Google Project Zero csapatának szakembere már tavaly nyáron értesítette erről a hibáról Microsoftot, akik ekkor példaszerű gyorsasággal, egy héten belül kiadták a javítást. Ám a Zerónál megvizsgálták a frissítést, és kiderült, hogy az nem szüntette meg a sebezhetőséget. Novemberben ezt jelezték a vállalatnak, és szokás szerint 90 napot vártak a javításra, s mivel ez nem történt meg, nyilvánosságra hozták a eredményeiket.

De itt még nem volt vége: a Zero kutatója, Ivan Fratric tegnap egy újabb sebezhetőséget hozott nyilvánosságra (CVE-2017-0037 – „type confusion flaw”), mely a Microsoft böngészőinek, az Edge-nek és az Internet Explorernek egy moduljában található, és tetszőleges külső kód futtatására ad lehetőséget – itt is az volt az indok, hogy lejárt a 90 napos türelmi idő.

Fratric a nyilvánosságra hozatallal egy időben bemutatott egy proof-of-concept exploitot is, hogy bizonyítsa a hiba veszélyességét: Windows Server 2012 R2-en futtatott 64-bites Internet Explorernél, valamint 32 bites IE-11-en, illetve az Edge-en azonos sebezhetőséget tudott kihasználni, hogy megszerezze a rendszergazdai jogokat. A sérülékenység a Windows 7-ben, a Windows 8.1-ben és a Windows 10-ben egyaránt megtalálható.

Mivel a februári szokásos havi frissítést a Microsoft márciusra halasztotta, szaporodnak azok a hibák, melyekre jövő hónap 14-én javításokat kell kiadniuk.

Azóta történt

Előzmények