Η Google δημοσιοποιεί σοβαρό bug των Windows πριν το διορθώσει η Microsoft

[Hal9000]

Η τακτική είναι γνωστή εδώ και αρκετά χρόνια, όσες εταιρείες ή ιδιώτες εντοπίζουν bugs σε λογισμικό, καλούνται να το αναφέρουν στον κατασκευαστή χωρίς να το δημοσιοποιήσουν, κερδίζοντας είτε χρηματική ή ηθική επιβράβευση, προστατεύοντας την ίδια ώρα άλλους χρήστες.

Για δεύτερη φορά μέσα στο 2016, η Google «σπάει» τη διαδικασία αυτή, δημοσιοποιώντας ένας σοβαρό bug του Flash και των Windows 10, χωρίς η Microsoft να το έχει διορθώσει. Συγκεκριμένα το Google Threat Analysis Group, ανακάλυψε μια σειρά από bugs στο Adobe Flash και το Windows kernel, τα οποία ήδη χρησιμοποιούσαν κακόβουλα αρκετοί χρήστες δημιουργώντας malware για διάφορες επιθέσεις στον Chrome browser. Η Google ενημέρωσε σχετικά την Adobe και τη Microsoft στις 21 Οκτωβρίου για την ανακάλυψή της, με την Adobe να κυκλοφορεί την περασμένη Παρασκευή patch για το Flash.

 

Αντιθέτως η Microsoft δεν είχε προχωρήσει σε κάποια κίνηση, με τη Google να προχωρά σε δημοσιοποίηση της ευπάθειας των Windows 10 με αναλυτικό μήνυμα στο Google Security Blog, και με τον τίτλο «Αναφορά τρωτών σημείων για την προστασία των χρηστών». Στο μήνυμα της η Google αναφέρει ότι πέρασαν 7 ημέρες από τότε που ενημέρωσε τη Microsoft χωρίς η εταιρεία να έχει προχωρήσει στη κυκλοφορία κάποιας διόρθωσης, προσθέτοντας ότι «γνωρίζουμε ότι η συγκεκριμένη ευπάθεια είναι πολύ σοβαρή γιατί ήδη χρησιμοποιείται κακόβουλα από αρκετούς».

 

Το bug επιτρέπει σε κάποιον να «ξεφύγει» από το Windows Security Sandbox μέσα στο οποίο γίνεται η ασφαλή εκτέλεση εφαρμογών, επιτρέποντας του να τρέξει προγράμματα ή εντολές στο Win32 subsystem έχοντας έτσι πλήρη πρόσβαση σε ένα Windows σύστημα και με δικαιώματα administrator. Θα πρέπει να επισημανθεί ότι για να μπορέσει κάποιος να αξιοποιήσει το bug των Windows, θα πρέπει παράλληλα να εκμεταλλευτεί και την αντίστοιχη αδυναμία του Flash. Σε περίπτωση που ο χρήστης έχει αναβαθμιστεί στην τελευταία έκδοση του Flash, δεν υπάρχει κάποιος κίνδυνος σύμφωνα με τις τελευταίες πληροφορίες.

 

Από την πλευρά της πάντως η Microsoft εξέφρασε στην ιστοσελίδα VentureBeat την αντίθεσή της με την κίνηση της Google θεωρώντας ότι η δημοσιοποίηση έγινε αρκετά γρήγορα κάτι που μπορεί να θέσει σε κίνδυνο τους χρήστες του λειτουργικού. Προσθέτει μάλιστα ότι «τα Windows είναι η μοναδική πλατφόρμα με πρόγραμμα διερεύνησης αναφορών για θέματα ασφάλειας αλλά και με την κυκλοφορία προληπτικών ενημερώσεων το ταχύτερο δυνατό για όσες συσκευές επηρεάζονται».

 

Site: VentureBeat

 

Ενημέρωση 23:10: Σύμφωνα με νεώτερη ενημέρωση, η Microsoft θα κυκλοφορήσει στις 8 Νοεμβρίου το patch για το συγκεκριμένο bug

[gnsX]

Ωωωωωωωωω

Δώσμου λίγο χρόνο να γράψω μια καλή ατάκα για τη μικρομαλακιά γιατί γράφω από τατσ-μπαρ

 

[james01gr]

Ωωωωωωωωω

Δώσμου λίγο χρόνο να γράψω μια καλή ατάκα για τη μικρομαλακιά γιατί γράφω από τατσ-μπαρ

 

φίλε κάνεις λες και δεν συμβαίνουν αυτά σε κανένα λειτουργικό. την google δεν την συμφέρει να αρχίσει έναν τέτοιο πόλεμο. ξέρεις τι έχει να γίνει με το android έτσι και αρχίζει η ms να δημοσιοποιεί τις τρύπες του; θα ψάχνει να βρει τρύπα να κρυφτεί. συν ότι ποτέ δεν αποκαλύπτεις μια αδυναμία φόρα παρτίδα εάν το σύστημα που έχει την αδυναμία δεν το διορθώσει! άσε που το πρόβλημα από ότι διαβάζω έχει δημιοργηθεί με τον... chrome!!! και εκμεταλλεύονται κυρίως πόρτα στο flash που δεν είναι της ms!!! δεν υποστηρίζω την ms αλλά εδώ η γοογλε προσπαθεί να κάνει τον μάγκα.

[Gi0]

[..] άσε που το πρόβλημα από ότι διαβάζω έχει δημιοργηθεί με τον... chrome!!! και εκμεταλλεύονται κυρίως πόρτα στο flash που δεν είναι της ms!!! δεν υποστηρίζω την ms αλλά εδώ η γοογλε προσπαθεί να κάνει τον μάγκα.

Nope.

Ξαναδιαβασε το post στο blog της Google.

 

To θεμα δεν εχει να κανει με το ποιος εχει το πιο τρυπιο software. Παντα θα υπαρχουν τρυπες, bugs, exploits, blah, blah, blah. Η ολη ιστορια εχει σχεση με την πολιτικη της Google και το disclosure μετα απο μικρο χρονικο διαστημα.

Οι μεν υποστηριζουν οτι ειναι μικρο το χρονικο διαστημα για να διορθωθει τοσο σοβαρο προβλημα, οι δε οτι εαν δεν ακολουθησουν την συγκεκριμενη πολιτικη κινδυνευουν οι χρηστες, το internet και οι vendors θα επαναπαυθουν και θα patchαρουν οποτε τους βολευει. 

Και ως συνηθως η αληθεια ειναι καπου στη μεση.

[coffeex]

 το internet και οι vendors θα επαναπαυθουν και θα patchαρουν οποτε τους βολευει. 

 

Αυτό ισχύει 100% και το έχουμε δει αρκετές φορές και από Microsft, Apple κ.α.

 

Ο τύπος που είχε βρει τρόπο να χακάρει απομακρυσμένα κάποια μοντέλα της Chrysler είχε πει ότι παρόλο που είχε αναφέρει το πρόβλημα στην εταιρία αυτή απλά δεν έκανε τίποτα... με το που έβγαλε το πρόβλημα στην φόρα η Chrysler έβγαλε το patch σχεδόν αμέσως. 

[Gi0]

Αυτό ισχύει 100% και το έχουμε δει αρκετές φορές και από Microsft, Apple κ.α.

 

Ο τύπος που είχε βρει τρόπο να χακάρει απομακρυσμένα κάποια μοντέλα της Chrysler είχε πει ότι παρόλο που είχε αναφέρει το πρόβλημα στην εταιρία αυτή απλά δεν έκανε τίποτα... με το που έβγαλε το πρόβλημα στην φόρα η Chrysler έβγαλε το patch σχεδόν αμέσως. 

Φυσικα και ισχυει, δεν το λεω για χαβαλε ή για να υπερασπιστω την Google και την καθε Google. Oπως ισχυει και η αλλη πλευρα του νομισματος:

Δεν ειναι απλο να ετοιμασεις/τεσταρεις/δωσεις patch για ενα τοσο σημαντικο κομματι των Windows οπως το win32k.sys και να λαβεις υποψην την τεραστια πολυπλοκοτητα που φερουν απο hardware + software προοπτικη. Και ολα αυτα μεσα σε τοσο μικρο χρονικο διαστημα. Και ναι, το ξερω πως ειναι μεγαλη εταιρεια η Ms και ολα τα σχετικα. Αλλα δεν ειναι προβλημα του τυπου "ριξε λεφτα και θα λυθει".

Οπως ειπα, καπου στη μεση ειναι η αληθεια 

[coffeex]

Πόσο καιρό έδινε η Google περιθώριο θυμάσαι;

Νομίζω πρέπει να έδινε 1 μήνα.

 

Γενικά όπως το είπες είναι απαράδεκτο ένα τέτοιο σοβαρό bug να το βγάζει στην φόρα μέσα σε λίγες μέρες.

[Gi0]

Πόσο καιρό έδινε η Google περιθώριο θυμάσαι;

Νομίζω πρέπει να έδινε 1 μήνα.

 

Γενικά όπως το είπες είναι απαράδεκτο ένα τέτοιο σοβαρό bug να το βγάζει στην φόρα μέσα σε λίγες μέρες.

90 μερες απο το P0

[NiKoSGsi]

Γενικα τα win10 ειναι γεματα bugs

[Χάρης Μυλωνίδης]

Γενικά τα windows είναι τρύπια

Καλό θα ήταν όσοι τα χρησιμοποιούν να χρησιμοποιούν το standard user λογαριασμό και όχι το λογαριασμό διαχειριστή, άλλωστε αυτό προτείνει και η micro$oft.

Αν και πάλι δεν θα είσαι 100% ασφαλής αλλά απο το να είσαι ξεβράκωτος κάτι είναι και αυτό

Επεξ/σία 2 Νοεμβρίου 2016 από Χάρης Μυλωνίδης

[euronmyous]

When im in the road im indestructible ...... Καποιος εδω μεσα θα το πιασει ....... Συγγνωμη για το ασχετο ποστ

[Χάρης Μυλωνίδης]

When im in the road im indestructible ...... Καποιος εδω μεσα θα το πιασει ....... Συγγνωμη για το ασχετο ποστ

αυτό ήταν σπόντα για μένα όσοι δεν το κατάλαβαν        :devil:

[AlexKane]

Αντιθέτως η Microsoft δεν είχε προχωρήσει σε κάποια κίνηση, με τη Google να προχωρά σε δημοσιοποίηση της ευπάθειας των Windows 10

 

Σύμφωνα με δημοσίευση:

But perhaps the most troublesome issue is that all versions of Windows from Vista through the Windows 10 November Update are vulnerable to these exploits...

η ευπάθεια δεν επηρεάζει μόνο τα Windows 10, υφίσταται στα windows εδώ και μια δεκαετία, ενώ σύμφωνα με τα στοιχεία της goog, ορισμένοι την εκμεταλλεύονται.

 

According to today's report, the Windows 10 vulnerability is "particularly serious", as Google's data has shown that it is being actively exploited.

[mants118]

περιμένω από μια εταιρεία πολλών δις $$$ και χιλιάδες προσωπικού να μπορεί να φτιάξει ένα σημαντικό bug ΑΜΕΣΑ... από ένα μαγαζάκι μικρό των 2-3 ατόμων εννοείται ότι θα τους έπαιρνε και ένα χρόνο να επιδιορθώσουν κάτι τέτοιο!

[rose21]

Ποσο πιο αντιπαθιτικη θα γινει πλεον αυτη η google .......

 

Αμα ειχε αντιπαλο την samsung στο αντροιντ θα ειχαμε βαρεθει να βλεπουμε διαφημιστικα σποτ για τα bug του ...

αλλα η MS,APPLE δεν ασχολουνται με τσατσιλικια ....και καλα κανουν..