Kebijakan Google Membahayakan Pengguna Windows

Microsoft - Windows 8

BERITA KUMPUL - Google pada hari Senin diposting ke Internet cacat sebelumnya tidak dipublikasikan yang bisa menimbulkan ancaman keamanan untuk pengguna sistem operasi Microsoft Windows.

Google diberitahu baik Microsoft dan Adobe nol hari kerentanan dalam perangkat lunak mereka pada 21 Oktober, menulis Neel Mehta dan Billy Leonard, anggota Analisis Ancaman Grup Google, dalam sebuah posting online.

Google memiliki kebijakan membuat kerentanan kritis publik tujuh hari setelah menginformasikan pembuat software tentang mereka. Adobe mampu memperbaiki kerentanan dalam waktu tujuh hari; Microsoft tidak.

"Ini [Windows] kerentanan sangat serius karena kita tahu itu sedang aktif dieksploitasi," tulis Mehta dan Leonard.

Namun, browser Google Chrome mencegah eksploitasi kerentanan ketika berjalan di Windows 10, mereka menambahkan.

Microsoft - Windows 10

Cacat Tidak Kritis

Microsoft menantang analisis Google dari cacat Windows dalam sebuah pernyataan yang diberikan kepada TechNewsWorld oleh juru bicara Charlotte Heesacker.

"Kami tidak setuju dengan karakterisasi Google dari elevasi lokal hak istimewa sebagai 'kritis' dan 'sangat serius,' sejak serangan skenario mereka menggambarkan sepenuhnya diatasi dengan penyebaran update Adobe Flash dirilis minggu lalu," kata Microsoft.

Setelah retak sistem, hacker biasanya mencoba untuk mengangkat hak mereka di dalamnya untuk mendapatkan akses ke data semakin sensitif.

"Selain itu, analisis kami menunjukkan bahwa serangan khusus ini tidak pernah efektif terhadap Windows 10 Anniversary Perbarui karena peningkatan keamanan yang sebelumnya dilaksanakan," kata Microsoft.

Windows kerentanan tim Google menemukan adalah eskalasi hak istimewa lokal di kernel Windows yang dapat digunakan sebagai escape keamanan sandbox dipicu oleh panggilan win32k.sys, menurut Mehta dan Leonard.

Sandbox di blok browser Google Chrome win32k.sys panggilan menggunakan mitigasi kuncian Win32k pada Windows 10, yang mencegah eksploitasi kerentanan sandbox melarikan diri, mereka menjelaskan dalam posting mereka.

singkat Batas waktu

Meskipun Google kontras tindakan cepat Adobe di patching nya kerentanan zero hari dengan kelambanan Microsoft, perbandingan mungkin kurang adil.

"Waktu untuk menambal kode dalam Adobe Reader atau Flash vs sesuatu yang terintegrasi ke dalam sistem operasi jauh berbeda," kata Brian Martin, direktur intelijen kerentanan di Keamanan Berbasis Risiko.

Apa membutuhkan waktu tidak begitu banyak berubah kode seperti pengujian setelah itu berubah, jelasnya.

"Jika Microsoft patch kode dalam satu versi Windows, kemungkinan akan mempengaruhi beberapa versi lain," kata Martin TechNewsWorld.

"Kemudian mereka memiliki masalah Platform - 32-bit dan 64-bit - dan kemudian versi yang berbeda - rumah, profesional, Server, apa pun," jelasnya.

"Jumlah waktu yang dibutuhkan untuk menambal itu adalah satu hal," katanya. "Jumlah waktu untuk pergi melalui siklus QA penuh lain. Tujuh hari umumnya dianggap tidak realistis untuk sebuah sistem operasi."

Untuk Mengungkapkan atau Tidak

Batas waktu singkat itu diperlukan karena melihat kerentanan dieksploitasi oleh hacker, tim Google dipertahankan. logika itu, meskipun bisa menjadi pedang bermata dua.

"Bagi saya, ini tidak akhirnya membantu mencapai tujuan semua orang, yang harus menjaga konsumen dan data mereka aman," kata Udi Yavo, CTO dari enSilo.

"Dengan mengungkapkan kerentanan awal, tanpa membiarkan waktu untuk patch, Google membuka kolam kecil orang yang menemukan kerentanan dan tahu bagaimana memanfaatkan itu, untuk semua," katanya kepada TechNewsWorld.

Namun, menjaga kerentanan tersembunyi sama sekali dipertanyakan, disarankan Jim McGregor, analis utama di Tirias Research.

"Mengingat betapa erat komunitas hacker berkomunikasi, tujuh hari mungkin terlalu banyak waktu," katanya kepada TechNewsWorld.

"Google telah menjadi perusahaan yang ramah dengan membiarkan Microsoft tahu tentang kerentanan, namun dalam pikiran saya itu akan menjadi lebih tepat untuk membuat pengetahuan masyarakat setelah Anda melihatnya di alam liar," kata McGregor.

"Kerentanan bisa menyebar meskipun komunitas hacker dalam milidetik," katanya. "Dengan tidak membuat masyarakat kerentanan, satu-satunya orang yang tidak tahu tentang hal itu adalah orang-orang yang seharusnya tahu tentang hal itu."