Groźna luka w Windowsach ujawniona bez łatki. To złośliwość Google'a?

Google już nie raz pokazało,że w kwestii bezpieczeństwa potrafi ostro pogrywać sobie zMicrosoftem, stosując wobec firmy z Redmond inne standardyujawniania luk, niż wobec pozostałych producentów oprogramowania.Ujawnianie niezałatanych jeszcze luk tłumaczy się „troską odobro użytkowników” – tyle że mamy wrażenie, że potemczłonkowie Google Project Zero śmieją się do rozpuku, patrzącjak ci wszyscy użytkownicy komputerów z Windowsami padają ofiaramiexploitów przygotowanych na podstawie ich odkrycia. W końcu zawszemogli kupić chromebooki… Tak jest i tym razem. Wczoraj Googledumnie upubliczniło informacje o luce w Windowsach, którą zgłosiłoMicrosoftowi raptem dziesięć dni wcześniej.

Nie tak dawno użytkownicy Linuksa musieli szybko łatać swojesystemy za sprawą DirtyCOW,luki, która pozwalała całkiem łatwo uzyskać uprawnienia roota.Trzeba jednak powiedzieć, że odkrywca tej aktywnie exploitowanejluki poczekał z upublicznieniem informacji na zielone światło odlinuksowych deweloperów. Odkrycie zgłoszone 15 październikadostało łatkę 18 października, a dzień później pojawiło sięw kanałach poszczególnych dystrybucji – np. w usłudze CanonicalLivepatch Service, pozwalającej na aktualizowanie jądra Ubuntubez restartów, poprawka była już ciągu czterech godzin odupublicznienia informacji.

Odkryta przez badaczy Google’a z Threat Analysis Group luka wWindowsach sporo ma wspólnego z „brudną krową” – pozwala napodwyższenie uprawnień procesu i ucieczkę z bezpiecznego sandboxu.Co prawda googlersi nie udostępnili exploitu, ale podali niezbędneinformacje jakna tacy: chodzi o wywołanie systemowe win32,NtSetWindowLongPtr() przy odpowiednio ustawionymidentyfikatorze i stylu okienka. Luka ta faktycznie jest jużexploitowana przez cyberprzestępców, ale za darmo jej nie rozdawali– na jednym z czarnorynkowych hakerskich forów kosztowała 5 tys.dolarów.

Przy okazji Google pochwaliło się, że korzystając z Chromejesteśmy bezpieczni na wykorzystujący to atak, sandbox tejprzeglądarki wykorzystuje blokadysystemowych wywołań win32, uniemożliwiając złośliwemu kodowidostanie się do kernela Windowsa.

Zgłoszenie trafiło do Microsoftu 21 października – ludzie zThreat Analysis Group zdecydowali się poczekać z publikacją, ażMicrosoft coś z tym zrobi. Wczoraj, 31 października, powołującsię na swoją politykę bezpieczeństwa, w której dostawcomoprogramowania daje się siedem dni na publikację łatki lub chociażwydanie porady pozwalającej zabezpieczyć system. Zdaniem Google’asiedem dni powinno wystarczy każdemu na taką operację.

Microsoft nie jest zachwycony. Wczoraj firma z Redmond rozesłałae-maila, w którym pisze m.in., że wierzy w skoordynowaneujawnianie informacji o podatnościach, a to co zrobiło Googlejedynie wystawia użytkowników na ryzyko. Nie podano jednakterminu załatania luki – zapewne wydarzy się to w najbliższydrugi wtorek miesiąca.

Eksperci częściowo przyznają rację Microsoftowi. Brian Martinz Risk Based Security stwierdził, że Windows jest dziś zbytskomplikowany, by przygotować dla niego łatkę w ciągu kilku dni.Trzeba uwzględnić wiele istniejących platform, zapewnić żepoprawka nie zaszkodzi działaniu oprogramowania. Z drugiej jednakstrony, jako że exploit był już dostępny w Sieci, publikacjaGoogle była częściowo usprawiedliwiona, zmusi na pewno Microsoftdo przyspieszenia prac nad poprawką.