Google kom i går med et blogginnlegg hvor selskapet beskriver en middels alvorlig Windows-sårbarhet som allerede skal være under angrep. Det spesielle med dette er at det ennå ikke finnes noen sikkerhetsfiks som fjerner sårbarheten.
I blogginnlegget skriver Google at selskapet den 21. oktober varslet henholdsvis Adobe og Microsoft om nulldagssårbarheter i deres respektive programvare. Den 26. oktober kom Adobe med en sikkerhetsoppdatering til Flash hvor den aktuelle sårbarheten (CVE-2016-7855) er fjernet.
Leste du denne? Intel-prosessorer har alvorlig feil i helt sentral sikkerhetsmekanisme
Utsettes for risiko
Men Microsoft har altså ikke rukket å komme med noen oppdatering ennå, heller ikke informasjon om den. Selskapet er derimot lite fornøyde med at Google nå har offentliggjort detaljer om sårbarheten.
– Vi tror på koordinert fremleggelse av sårbarheter, og Googles fremlegges i dag utsetter kunder for potensiell risiko, sa en talsperson for Microsoft til VentureBeat i går.
Det burde likevel ikke komme som noen overraskelse for Microsoft at Google gjør dette. Allerede for to år siden presenterte Google en policy om fremleggelse av informasjon hittil ukjente sårbarheter etter sju dager, dersom sårbarhetene utnyttes i aktive angrep.
En slik tidlig fremleggelse kan gjøre det mulig for berørte brukere å beskytte systemene, eventuelt med hjelp fra leverandører av sikkerhetsverktøy. Men samtidig kan fremleggelsen gjøre det mulig for flere ondsinnede å lagre angrepskode som utnytter sårbarheten.
Det er delte meninger om dette, og Google og Microsoft har også tidligere hatt motsatte synspunkter i slike saker. Google har lenge brukt ressurser på å finne sårbarheter også i andres programvare, blant annet gjennom selskapets Project Zero.
Les mer: Microsoft refser Google
Unnslipper sandkassen
Ifølge Google finnes sårbarheten i Windows-kjernen. Den dreier seg om eskalering av rettigheter lokalt på systemet og kan brukes til å unnslippe sikkerhetssandkasser. Den kan utløses ved hjelp av et systemkall som Google har oppgitt.
– Windows er den eneste plattformen som inkluderer en forpliktelse overfor kundene om å etterforske rapporterte sikkerhetsproblemer og proaktivt oppdatere berørte enheter så snart som mulig. Vi anbefaler kundene om å bruke Windows 10 og Microsoft Edge-nettleseren for den beste beskyttelsen, sier Microsoft-talspersonen som uttalte seg til VentureBeat.
Dette har fått noen til å flire litt:
@tiraniddo the filter is pretty weak. We will demo several win32k 0days that escapes Edge sandbox on PwnFest(https://t.co/lATr760crW) contest soon.
— mj0011 (@mj0011sec) 1. november 2016
Sandkassen som finnes i Google Chrome skal derimot kunne blokkere dette systemkallet i Windows 10, slik at sårbarheten ikke kan utnyttes til å unnslippe sandkassen i nettleseren.
Microsoft lanserer Project Springfield: «Fuzzing» skal gjøre det enklere å finne sårbarheter i programvare
