Τη Δευτέρα, η Google αποκάλυψε ένα κρίσιμο κενό ασφαλείας στα Windows 10, δίνοντας στη Microsoft προθεσμία δέκα ημερών για να προειδοποιήσει το κοινό για αυτό.
Η Google δημοσίευσε σχετικά με την zero-day ευπάθεια στο security blog της, λέγοντας ότι η Microsoft δεν είχε ακόμη δημοσιεύσει μια ενημέρωση κώδικα ή ενημερώσει το κοινό σχετικά με το ελάττωμα του λογισμικού. “Αυτή η ευπάθεια είναι ιδιαίτερα σοβαρή, διότι ξέρουμε ότι γίνεται αντικείμενο εκμετάλλευσης” δήλωσε η Google. Επιτρέπει στους hackers να εκμεταλλευτούν ένα bug στον πυρήνα των Windows, μέσω ενός win32k.sys system call, για να παρακάμψει το sandbox ασφαλείας.
Η Google ενημέρωσε αρχικά στην Microsoft σχετικά με το πρόβλημα, στις 21 Οκτωβρίου, και περίμενε να υπάρξει δημόσια αναφορά του θέματος και λύση. Όμως η εταιρία έχει μια αυστηρή πολιτική δίνοντας μόνο επτά ημέρες είτε για να δημοσιεύσουν μια ενημερωμένη έκδοση κώδικα, είτε να εκδοθεί μια προειδοποίηση για ένα bug.
Η Microsoft απάντησε λέγοντας “Πιστεύουμε στην συντονισμένη γνωστοποίηση του bug και η σημερινή αποκάλυψη από την Google θα μπορούσε να θέσει τους πελάτες σε δυνητικό κίνδυνο“.
Δεν είναι η πρώτη φορά που οι δύο εταιρείες έχουν διαφωνήσει πάνω σε αποκάλυψη ενός θέματος ευπάθειας. Το 2015, η Google αποκάλυψε, άγνωστα στο κοινό, κενά στα Windows πριν η Microsoft είχε την ευκαιρία να εκδώσει patches.
Ο Brian Martin, διευθυντής ευαίσθητων πληροφοριών στη Risk Based Security είπε πως θα ήταν αδύνατο για την Microsoft να κυκλοφορήσει ένα patch μέσα σε επτά μέρες.
Η Google ανακοίνωσε ότι στα Windows 10, το πρόγραμμα περιήγησης Chrome θα αποτρέψει το πρόβλημα. Χρησιμοποιώντας το δικό του sandbox , το πρόγραμμα περιήγησης μπορεί να μπλοκάρει win32k.sys system calls.
