Проектная Нулевая исследовательская несколько безопасности Гугл публично раскрывает другую пару недостатков нулевого дня Микрософт. Но каковы фактические риски?Проектная Нулевая исследовательская несколько безопасности Google еще раз подвергла пользователей Микрософт риску, публично раскрыв пару новых уязвимостей нулевого дня 15 января.Проектный Нуль Гугл имеет политику автоматического раскрытия уязвимостей спустя 90 дней после того, как о них сказали поставщику.
Гугл сказал о двух новых проблемах безопасности Микрософт 17 октября 2014, поместив 90-дневный конечный срок раскрытия 15 января. Две новых уязвимости совокупности обеспечения безопасности включают безопасность Гугл Тема изучения № 127, что идентифицируется как недостаток обхода безопасности в Windows 7.«Вы можете явиться олицетворением маркера администратора как простой пользователь (через соединенный маркер либо похищение системного маркера) и позвать защищенные функции», заявляет консультация Гугл. «На Windows 8 + способ SeTokenIsAdmin был поменян для проверки на уровень олицетворения, так, это не уязвимо».Консультация Гугл по проблеме № 127 также отмечает, что «не светло, оказывает ли это важное влияние безопасности либо нет».В отчете Микрософт, отправленном по email к eWEEK, представитель Микрософт прокомментировал, что Микрософт не есть планированием обращения к безопасности Гугл Тема изучения № 127, что может дать доступ к информации об установках питания с бюллетенем безопасности.
Второй нулевой день есть безопасностью Гугл Тема изучения № 128, идентифицированный как обход безопасности, информационный недостаток раскрытия.«Функциональный CryptProtectMemory разрешает приложению шифровать память для одного из трех сценариев, процесса, сессии входа в совокупность и компьютера», Гугл даёт предупреждение на его консультации. «Проблемой есть реализация в CNG.sys, не проверяет уровень олицетворения маркера при получении ID сессии входа в совокупность (применяющий SeQueryAuthenticationIdToken), так, простой пользователь может явиться олицетворением на Идентификационном уровне и дешифровать либо зашифровать эти для той сессии входа в совокупность».Со своей стороны, Микрософт не через чур тревожится по поводу любого недостатка, не смотря на то, что исправление находится в работах для неприятности № 128. «Мы не знаем, что каждые кибератаки применяют эти два случая, публично раскрытые», заявил представитель Микрософт.Микрософт подчернула, что, тогда как она трудится для решения проблемы обхода CryptProtectMemory (безопасность Гугл Тема изучения № 128), это не недостаток, что есть легко годным для применения.
«Клиенты должны иметь в виду, что для успешного применения этого потенциальный атакующий должен был бы применять другую уязвимость сперва», заявил представитель Микрософт.Два новых недостатка нулевого дня, раскрытые Гугл Project Zero, приносят неспециализированный счет нулевого дня недостатки Микрософт, которые несколько Гугл публично продемонстрировала к четыре. 30 декабря Гугл раскрыл расширение полномочий в Инфраструктуре Совместимости приложения Микрософт Windows (AppCompat). И 11 января, Гугл раскрыл вторую уязвимость, которая привела Микрософт публично отчитывать Гугл по собственной политике раскрытия.
Как это выясняется, и 30 декабря и недостатки 11 января были фиксированы Микрософт в первом Патче во вторник 2015, что вышел 13 января.«Я пологаю, что, должно быть, была неприятность в связи между Микрософт и Гугл, в силу того, что думается, что патч был дешёв в течение достаточно маленького периода времени 90-дневной даты лимита», сообщил Вольфганг Кандек, CTO Qualys, eWEEK 13 января.Учитывая две новых неприятности, раскрытые 15 января, казалось бы, что сообщение между Микрософт и Гугл на координируемом раскрытии подобающа все же улучшиться.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.