Google divulga vulnerabilidade do windows

Mais uma vez, o Google divulga publicamente uma nova vulnerabilidade grave no Windows 7 e Windows 8.1 antes de a Microsoft tem sido capaz de produzir um patch, deixando os usuários de ambos os sistemas operacionais expostos a hackers até o próximo mês, quando a empresa planeja entregar uma correção.

DIVULGAÇÃO DE ERROS sem correção, bom ou ruim?

Apertado política de divulgação do Google de 90 dias parece ser uma boa jogada para todos os fornecedores de software para corrigir os seus produtos antes de serem exploradas pelos hackers e cibercriminosos. Mas, ao mesmo tempo, divulgar todos os bugs críticos junto com seus detalhes técnicos no sistema operacional amplamente utilizado como o Windows 7 e 8 não parece ser uma decisão certa também. Em ambos os casos, o único a sofrer são os usuários inocentes.

A revelação da falha de segurança também foi uma parte Project Zero, do Google , uma iniciativa que identifica falhas de segurança em software diferente e convida as empresas a divulgar publicamente e erros de correção no prazo de 90 dias de descobri-las.

Chris Betz, diretor sênior da Microsoft Security Response Center, escreveu que a iniciativa do Google "sente menos como princípios e mais como uma 'pegadinha', com os clientes a um que pode sofrer como resultado. " Ele continua: " O que é certo para o Google nem sempre é bom para os clientes. Instamos Google para fazer protecção dos clientes o nosso principal objetivo coletivo. "

Desta vez, o gigante das buscas descobriu uma falha na função de memória criptografar CryptProtectMemory encontrado dentro de Windows 7 e 8,1 e presentes em ambos os de 32 e 64 bits arquiteturas, o que pode revelar acidentalmente informações confidenciais ou permitir que um meliante para contornar os controlos de segurança, aparentemente.

Microsoft vai lançar PATCH em fevereiro de 2015

Google primeiro notificou a Microsoft sobre a vulnerabilidade no Windows 7 e 8,1, em 17 de outubro de 2014. A Microsoft, em seguida, confirmou os problemas de segurança em 29 de outubro e disse que seus desenvolvedores conseguiram reproduzir a falha de segurança. O patch para a vulnerabilidade está agendada para 10 de fevereiro, próxima Patch Tuesday.

A vulnerabilidade foi encontrada por James Forshaw, que também descobriu um " privilégio elevação falha "no Windows 8.1, que foi divulgado no início desta semana e atraiu fortes críticas da Microsoft. O bug recém-descoberto, na verdade, reside na implementação CNG.sys, que não conseguiu executar verificações adequadas de token.

" A questão é a implementação em CNG.sys não verifica o nível de representação do token ao capturar o ID da sessão de logon (usando SeQueryAuthenticationIdToken) para um usuário normal pode personificar a nível Identificação e descriptografar ou criptografar os dados para que a sessão de logon," James Forshaw diz no pós divulgar a vulnerabilidade.

" Esse comportamento é claro pode ser o projeto, no entanto, não ter sido parte no projeto, é difícil dizer."

Esta é a terceira vez em menos de um mês, quando Project Zero do Google divulgou detalhes da vulnerabilidade no sistema operacional da Microsoft, após a sua de 90 dias a divulgação pública política prazo.Poucos dias atrás, o Google divulgou detalhes de um novo bug de escalonamento de privilégios no 8.1 do Microsoft Windows sistema operacional apenas dois dias antes de a Microsoft planejada para corrigir o bug.