O Grupo de Análise de Ameaças do Google descobriu recentemente um conjunto de vulnerabilidades prejudiciais no Adobe Flash e no kernel do Microsoft Windows que estavam sendo usados ​​ativamente para ataques de malware contra o navegador Chrome. O Google anunciou publicamente a falha de segurança no Windows apenas 10 dias depois de divulgá-la à Microsoft em 21 de outubro. O Google também apontou que essa falha poderia ser usada agressivamente por atacantes e codificadores para comprometer a segurança nos sistemas Windows, obtendo acesso no nível de administrador ao computadores usando um malware.

Isso pode ser conseguido permitindo que desenvolvedores menos honestos escapem da caixa de proteção de segurança do Windows que executa apenas aplicativos em nível de usuário sem precisar de acesso de administrador. Aprofundando um pouco mais os detalhes técnicos, o win32k.sys, uma biblioteca de sistemas Windows de suporte herdada usada principalmente para gráficos, recebe uma chamada específica que concede acesso total ao ambiente Windows. O Google Chrome já possui um mecanismo de defesa para esse tipo de falha e bloqueia esse ataque no Windows 10 usando uma modificação na sandbox do Chromium chamada "bloqueio do Win32k".

O Google descreveu essa vulnerabilidade específica do Windows da seguinte maneira:

“A vulnerabilidade do Windows é uma escalação de privilégios locais no kernel do Windows que pode ser usada como uma saída da caixa de proteção de segurança. Ele pode ser acionado por meio da chamada de sistema win32k.sys NtSetWindowLongPtr () para o índice GWLP_ID em um identificador de janela com GWL_STYLE definido como WS_CHILD. A sandbox do Chrome bloqueia as chamadas do sistema win32k.sys usando a atenuação do bloqueio do Win32k no Windows 10, o que impede a exploração dessa vulnerabilidade de escape da sandbox. ”

Embora este não seja o primeiro encontro do Google com uma falha de segurança do Windows, eles divulgaram uma declaração pública sobre uma vulnerabilidade e mais tarde criticaram minha Microsoft por divulgar uma nota pública antes do limite oficial de sete dias concedido aos fabricantes de software para emitir uma correção.

"Após sete dias, de acordo com nossa política publicada para vulnerabilidades críticas ativamente exploradas, hoje divulgamos a existência de uma vulnerabilidade crítica remanescente no Windows para a qual nenhum aviso ou correção foi lançado ainda", escreveram Neel Mehta e Billy Leonard, da Threat Analysis do Google. Grupo. ”Essa vulnerabilidade é particularmente grave porque sabemos que está sendo ativamente explorada.”

Uma vulnerabilidade de dia zero é uma falha de segurança divulgada publicamente, nova para os usuários. E agora que o período de sete dias se passou, ainda não há nenhuma correção disponível sobre esse bug da Microsoft.

A vulnerabilidade do Flash (também divulgada em 21 de outubro) que o Google compartilhou com a Adobe foi corrigida em 26 de outubro. Assim, os usuários podem simplesmente atualizar para a versão mais recente do Flash. Mas, novamente, a Microsoft apontou ativamente que, para um plug-in da Web simples como o Flash, emitir um patch em sete dias não é um alvo desafiador, mas para um sistema operacional complexo como o Windows, é quase impossível codificar, testar e emitir um patch para uma falha de segurança dentro de uma semana.

Não apenas a Microsoft, mas muitas outras grandes entidades de software se opuseram ativamente a essa política controversa do Google de revelar falhas dentro de um prazo de uma semana, mas o Google sustentou que é mais seguro para a segurança pública criar consciência sobre um bug persistente que pode comprometer a segurança do usuário.