Die Threat Analysis Group von Google hat kürzlich eine Reihe schädlicher Sicherheitslücken in Adobe Flash und im Microsoft Windows-Kernel aufgedeckt, die aktiv für Malware-Angriffe auf den Chrome-Browser verwendet wurden. Google hat die Sicherheitslücke in Windows bereits 10 Tage nach der Offenlegung gegenüber Microsoft am 21. Oktober öffentlich angekündigt. Google wies außerdem darauf hin, dass diese Lücke von Angreifern und Programmierern aggressiv genutzt werden könnte, um die Sicherheit in Windows-Systemen zu gefährden, indem sie auf Administratorebene Zugriff auf das Windows-System erhalten Computer mit Malware.

Dies kann erreicht werden, indem weniger als ehrlichen Entwicklern gestattet wird, sich aus der Windows-Sicherheits-Sandbox zu befreien, in der nur Apps auf Benutzerebene ausgeführt werden, ohne dass Administratorzugriff erforderlich ist. Die Windows-Systembibliothek win32k.sys, die hauptsächlich für Grafikzwecke verwendet wird, wird speziell aufgerufen, um den vollständigen Zugriff auf die Windows-Umgebung zu gewähren. Google Chrome verfügt bereits über einen Abwehrmechanismus für diese Art von Fehlern und blockiert diesen Angriff auf Windows 10 mithilfe einer Modifikation der Chromium-Sandbox mit dem Namen „Win32k Lockdown“.

Google hat diese besondere Windows-Sicherheitsanfälligkeit wie folgt beschrieben:

„Die Windows-Sicherheitsanfälligkeit ist eine lokale Rechteerweiterung im Windows-Kernel, die als Sicherheits-Sandbox-Escape verwendet werden kann. Sie kann über den win32k.sys-Systemaufruf NtSetWindowLongPtr () für den Index GWLP_ID in einem Fensterhandle ausgelöst werden, bei dem GWL_STYLE auf WS_CHILD gesetzt ist. Die Sandbox von Chrome blockiert win32k.sys-Systemaufrufe mithilfe der Win32k-Lockdown-Abschwächung unter Windows 10, wodurch die Ausnutzung dieser Sicherheitsanfälligkeit durch Sandbox-Flucht verhindert wird. “

Dies ist zwar nicht das erste Mal, dass Google auf eine Windows-Sicherheitslücke stößt, aber es wurde eine öffentliche Erklärung zu einer Sicherheitslücke veröffentlicht. Später wurde Microsoft wegen der Veröffentlichung einer öffentlichen Notiz vor Ablauf der offiziellen Frist von sieben Tagen, die Softwareherstellern zur Herausgabe eines Fixes gewährt wird, verurteilt.

"Nach sieben Tagen enthüllen wir gemäß unserer veröffentlichten Richtlinie für aktiv ausgenutzte kritische Sicherheitsanfälligkeiten das Vorhandensein einer verbleibenden kritischen Sicherheitsanfälligkeit in Windows, für die noch keine Empfehlung oder Korrektur veröffentlicht wurde", schreiben Neel Mehta und Billy Leonard von Googles Threat Analysis Group. "Diese Sicherheitsanfälligkeit ist besonders gravierend, da wir wissen, dass sie aktiv ausgenutzt wird."

Eine Zero-Day-Sicherheitsanfälligkeit ist eine öffentlich gemeldete Sicherheitslücke, die für Benutzer neu ist. Und jetzt, da der Zeitraum von sieben Tagen abgelaufen ist, ist noch kein Patch-Fix für diesen Fehler von Microsoft verfügbar.

Die Flash-Sicherheitsanfälligkeit (ebenfalls am 21. Oktober bekannt gegeben), die Google für Adobe freigegeben hat, wurde am 26. Oktober gepatcht. Benutzer können also einfach auf die neueste Version von Flash aktualisieren. Andererseits hat Microsoft aktiv darauf hingewiesen, dass es für ein einfaches Web-Plugin wie Flash keine Herausforderung ist, einen Patch innerhalb von sieben Tagen zu veröffentlichen, aber für ein komplexes Betriebssystem wie Windows ist es nahezu unmöglich, Code zu schreiben, zu testen und zu veröffentlichen ein Patch für eine Sicherheitslücke innerhalb einer Woche.

Nicht nur Microsoft, sondern viele andere große Softwareunternehmen haben sich aktiv gegen diese umstrittene Richtlinie von Google zur Aufdeckung von Fehlern innerhalb einer Woche gewehrt. Google hat jedoch behauptet, dass es für die öffentliche Sicherheit sicherer ist, auf einen anhaltenden Fehler aufmerksam zu machen, der die Benutzersicherheit gefährden könnte.