90 dni nie wystarczyło na przygotowanie łatki. Google ujawnia poważną lukę w Windows 8.1
To nie pierwszy raz, kiedy Google stawia Microsoft w kłopotliwejsytuacji pod względem bezpieczeństwa oprogramowania. PamiętamyTavisa Ormandy'ego, który nie dawał szans firmie z Redmond nanaprawienie odkrytych przez niego błędów, upubliczniającgotowe exploity zaraz po ich przygotowaniu. Tym razem Microsoft miałswój czas, ale z niego nie skorzystał. Kolejny 0-day dla Windowstrafił więc do wiadomości publicznej.
Odkrywcą tej luki nie jest Tavis Ormandy, lecz inny członekgoogle'owego Projektu Zero, forshaw. Pozwala ona napastnikowi nauzyskanie uprawnień administratora w Windows 8.1, za sprawąwykorzystania błędu w systemowej funkcji NtApphelpCacheControl,pozwalającej przechować dane o kompatybilności aplikacji napotrzeby szybkiego uruchamiania nowych procesów w pamięcipodręcznej. Niepoprawne sprawdzenie uprawnień korzystającego zfunkcji użytkownika pozwala na wykorzystanie tokenu identyfikacji zktóregoś z procesów systemowych i uruchomienie własnego procesu zuprawnieniami administratora.
Informacją o odkrytej luce, a także działającym exploitem,forshaw podzielił się 30 września na wewnętrznej liściedyskusyjnej Projektu Zero. Powiadomienie trafiło także do zespołubezpieczeństwa Microsoftu. Od tego czasu, zgodnie ze znanymiwszystkim założeniami google'owej inicjatywy, producentoprogramowania ma 90 dni na rozwiązanie problemu – późniejinformacja o luce zostaje automatycznie upubliczniona.
Odpowiednia łatka nie pojawiła się jednak ani w październiku,ani w listopadzie, ani też w grudniu. 29 grudnia raport o błędziezostał automatycznieupubliczniony, w związku z przekroczeniem ostatecznego terminu.Pierwsza reakcja? Ładnie –napisał na łamach listy google-security-research jeden zprogramistów Google'a.
Nie wszyscy wykazali się jednaktakim entuzjazmem. Pojawiły się głosy, że ujawnianie takichbłędów w okresie świątecznym, kiedy to wielu pracownikówMicrosoftu i Google ma wolne, nie jest najlepszym pomysłem. Może i90 dni to sporo na naprawienie błędu, ale też przygotowanie łatkido ważnego systemowego sterownika i jej kompleksowe przetestowanienie jest wcale łatwe – o czym można się przekonać naprzykładzie ostatnich problemów z biuletynami bezpieczeństwa.
Z drugiej strony inni zauważali,że trzymanie takiej informacji w tajemnicy sprzyja tylko tym, którzypotajemnie wykorzystują odkrytą lukę w niegodziwych celach. Nawetjeśli nie ma jeszcze łatki, są inne sposoby na to, by zabezpieczyćsię przed tego typu atakiem, dlatego lepiej powiadomićadministratorów o zagrożeniu zawczasu – i liczyć żeupublicznienie informacji skłoni Microsoft do przyspieszenia prac.
Najbliższy kolejny termin wydania poprawek do oprogramowaniaMicrosoftu przypada na wtorek 13 stycznia. I faktycznie,prawdopodobnie wtedy pojawi się poprawka do odkrytego przez forshawabłędu. Firma potwierdziła zagrożenie, informując, że trwająprace nad łatką. Póki co użytkownicy Windows powinni dbać oochronę antywirusową, włączyć zapory sieciowe i upewnić się,że nie są atakowani za pomocą innych exploitów. Wspomniana lukana szczęście nie pozwala na zdalny atak, wymaga lokalnegozalogowania się do maszyny (np. za pomocą BadUSB).
Tak czy inaczej – dyskusja na temat odpowiedzialnego ujawnianialuk w oprogramowaniu i tym razem nie przyniesie żadnych wiążącychrozstrzygnięć. Nie sposób się jednak oprzeć wrażeniu, że jesttrochę osobistej satysfakcji dla ludzi Google'a w ujawnianiu luk wWindows. W końcu opracowywany w Mountain View konkurent „okienek”,Chrome OS, reklamowany jest jako najbezpieczniejszy system operacyjnyświata – i jak do tej pory za wiele przesady w tej reklamie niema.
