Grup Analisis Ancaman Google baru-baru ini menemukan serangkaian kerentanan berbahaya di Adobe Flash dan kernel Microsoft Windows yang sedang aktif digunakan untuk serangan malware terhadap browser Chrome. Google secara terbuka mengumumkan kelemahan keamanan di Windows hanya 10 hari setelah mengungkapkannya kepada Microsoft pada 21 Oktober. Google juga menunjukkan bahwa kelemahan ini dapat digunakan secara agresif oleh penyerang dan pembuat kode untuk mengkompromikan keamanan dalam sistem Windows dengan mendapatkan akses tingkat administrator ke sistem. komputer menggunakan malware.

Ini dapat dicapai dengan memungkinkan pengembang yang kurang jujur ​​untuk melarikan diri dari kotak pasir keamanan Windows yang hanya mengeksekusi aplikasi tingkat pengguna tanpa memerlukan akses admin. Menyelam sedikit lebih dalam ke masalah teknis, win32k.sys, sebuah dukungan warisan sistem perpustakaan Windows yang digunakan terutama untuk grafik, mengeluarkan panggilan khusus yang memberikan akses penuh ke lingkungan Windows. Google Chrome sudah memiliki mekanisme pertahanan untuk kelemahan semacam ini dan memblokir serangan ini pada Windows 10 menggunakan modifikasi pada kotak pasir Chromium yang disebut "Win32k lockdown".

Google menggambarkan kerentanan Windows khusus ini sebagai berikut:

“Kerentanan Windows adalah eskalasi hak istimewa lokal di kernel Windows yang dapat digunakan sebagai pelarian sandbox keamanan. Ini dapat dipicu melalui win32k.sys system call NtSetWindowLongPtr () untuk indeks GWLP_ID pada pegangan jendela dengan GWL_STYLE diatur ke WS_CHILD. Kotak pasir Chrome memblokir panggilan sistem win32k.sys menggunakan mitigasi kuncian Win32k pada Windows 10, yang mencegah eksploitasi kerentanan kotak pasir ini lolos."

Meskipun ini bukan pertemuan pertama Google dengan cacat keamanan Windows, mereka merilis pernyataan publik tentang kerentanan dan kemudian dihancurkan Microsoft saya karena merilis catatan publik sebelum batas tujuh hari resmi yang diberikan kepada produsen perangkat lunak untuk mengeluarkan perbaikan.

"Setelah 7 hari, sesuai kebijakan kami yang diterbitkan untuk kerentanan kritis yang dieksploitasi secara aktif, kami hari ini mengungkapkan keberadaan kerentanan kritis yang tersisa di Windows yang belum dirilis saran atau perbaikannya, " tulis Neel Mehta dan Billy Leonard dari Analisis Ancaman Google Group. ”Kerentanan ini sangat serius karena kami tahu ini sedang dieksploitasi secara aktif.”

Kerentanan zero-day adalah kelemahan keamanan yang diungkapkan secara publik yang baru bagi pengguna. Dan sekarang setelah periode tujuh hari berlalu, masih belum ada perbaikan patch yang tersedia mengenai bug ini dari Microsoft.

Kerentanan Flash (juga diungkapkan pada 21 Oktober) yang dibagikan Google dengan Adobe telah ditambal pada 26 Oktober. Jadi, pengguna dapat memperbarui ke versi Flash terbaru. Tetapi sekali lagi, Microsoft telah secara aktif menunjukkan bahwa untuk plugin web sederhana seperti Flash, mengeluarkan tambalan dalam waktu tujuh hari bukanlah target yang menantang, tetapi untuk OS kompleks seperti Windows, hampir tidak mungkin untuk kode, pengujian, dan masalah tambalan untuk cacat keamanan dalam waktu seminggu.

Bukan hanya Microsoft tetapi banyak entitas perangkat lunak utama lainnya telah secara aktif menentang kebijakan kontroversial Google ini untuk mengungkapkan kekurangan dalam batas waktu satu minggu, tetapi Google telah menyatakan bahwa lebih aman bagi keamanan publik untuk menciptakan kesadaran tentang bug yang ada yang dapat membahayakan keselamatan pengguna.