Google tornou públicos os detalhes de uma vulnerabilidade de segurança no Windows 8.1 apenas 90 dias após a divulgação de que a Microsoft, o que provocou debate sobre a sabedoria da iniciativa da gigante on-line de segurança do Project Zero.
O bug, que foi relatada em particular a Microsoft em setembro , pode potencialmente permitir que um usuário logado para executar código no Windows 8.1 máquinas com privilégios de administrador.
A falha está no manejo da NtApphelpCacheControl() chamada de sistema, e isso é um bug de super obscura: um programa deve primeiro obter um token de acesso a partir de um processo de nível de sistema, como o BITS , e, em seguida, chamar a função acima mencionada para inserir um entrada no cache de compatibilidade de aplicativos - uma operação só código de nível de administrador deve ser capaz de fazer. Quando o token de acesso é examinado, do programa de nível de representação não está marcada, permitindo que o software em nível de usuário para passar por um programa privilegiado e modificar o cache. A entrada de cache cuidadosamente trabalhada pode levar para o Windows rodando um executável arbitrário com privilégios elevados.
"Este bug está sujeito a um prazo de divulgação 90 dias", a equipe de segurança do Google notou quando ele disse a Microsoft de o erro de programação. "Se 90 dias transcorrer sem um patch amplamente disponível, o relatório de erro se tornará automaticamente visíveis para o público."
Esse prazo já passou, e os detalhes completos do bug foram revelados em 30 de dezembro - incluindo o trabalho de código de prova de conceito, que a Fábrica de Chocolate tem disponibilizado tanto em código fonte e formato binário executável.
Mas nem todos concordam com a política de divulgação agressiva de Project Zero, do Google, que foi fundada em julho de 2014, com o objetivo de erradicar a bugs no software utilizado.
"Revelar automaticamente esta vulnerabilidade quando um prazo é alcançado com absolutamente zero de contexto parece-me incrivelmente irresponsável e eu teria esperado um maior grau de cuidado e maturidade de uma empresa como o Google", escreveu um comentarista no relatório de bug.
Outros ressaltou, no entanto, que só porque um bug ainda não foi divulgado publicamente não significa hackers ainda não estão explorando-a.
"Ninguém está feito bem, mantendo-o segredo", escreveu outro comentarista. "Ao expor o vuln eles permitem que esses bilhões que podem estar em execução sistemas vulneráveis para estar ciente da ameaça à sua própria segurança e tomar medidas defensivas."
Pesquisador de segurança do Google Ben Hawkes defendeu a política de auto-revelação, por escrito :
Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário - permite que fornecedores de software de comprimento justo e razoável de tempo para exercer o seu processo de gerenciamento de vulnerabilidades, além de respeitar os direitos dos usuários de aprender e compreender os riscos que enfrentam.
Com isso dito, vamos estar monitorando os efeitos dessa política muito de perto ... Estamos felizes em dizer que os resultados iniciais mostraram que a maioria dos erros que temos relatados ... ficar fixo sob prazo, que é um testamento ao trabalho duro dos vendedores.
Em resposta à divulgação, a Microsoft emitiu uma declaração no sentido de que está ciente do problema e está preparando uma correção.
"Estamos trabalhando para lançar uma atualização de segurança para resolver um problema de Elevation Privilege", um porta-voz da Microsoft disse El Reg via e-mail. "É importante notar que para um possível invasor potencialmente explorar um sistema, eles primeiro precisam ter credenciais de logon válidas e poder fazer logon localmente para uma máquina alvo. Recomendamos aos clientes para manter seu software anti-virus até à data, instale todas as atualizações de segurança disponíveis e ativar o firewall em seu computador ".
A gigante do software não disse se ela planejava ter uma correção para o problema pronto até este mês Patch Tuesday, que desembarca em 13 de janeiro ®
Nenhum comentário:
Postar um comentário