119

Google ujawnia kolejną poważną podatność w Windows

Project Zero oraz perypetie z nim związane już wcześniej rozpalały bardzo żywe dyskusje na temat działania Google względem Microsoftu. Zdarzało się bowiem w przeszłości, że gigant publikował informacje na temat podatności w oprogramowaniu z Redmond. Obecnie sytuacja jest nieco poważniejsza, bo doszło do przełożenia wysyłki poprawek w ramach tzw. patch tuesday.

Błąd bezpieczeństwa w systemie Windows został zgłoszony Microsoftowi 90 dni temu – do tego czasu gigant nie uporał się ze stworzeniem odpowiedniej poprawki i w sumie nie wiadomo, kiedy dokładnie zostanie ona wydana. Okazuje się bowiem, że z powodu błędu w aktualizacji, w ostatnim momencie zaniechano jej wysłania do maszyn. Jak wskazuje Google, zgłoszenie na temat błędu wysłano do Microsoftu już 9 czerwca zeszłego roku, gigant jednak nie zdołał załatać wszystkich luk. Ponownie wskazano na niedociągnięcia i miało to miejsce 16 listopada.

Do tego czasu Microsoft nie zdołał skonstruować poprawki

Niekorzystnie na to wpłynęło również opóźnienie w udostępnieniu poprawek w ramach patch tuesday. Jak wskazuje strona Project Zero od Google, błąd dotyczy biblioteki GDI, która może zostać zaatakowana przez cyberprzestępców i pozwolić na wykradzenie ważnych danych z pamięci. Dodatkowo, błąd dotyczy każdego programu, który korzysta z GDI. Wykonanie ataku jest możliwe tylko, jeżeli cyberprzestępca dysponuje fizycznym adresem urządzenia w sieci, ale niewykluczone, że wraz z upływem czasu zostaną stworzone exploity, które będą w stanie dużo bardziej zagrozić podatnym maszynom z Windows.

windows

Nie tylko Windows 10 jest zagrożony takim atakiem. Okazuje się, że właściwie każdy system do wersji Vista Service Pack 2 może paść łupem cyberprzestępców. Microsoftowi powinno tym bardziej zależeć na jak najszybszym załataniu błędu.

Czy Google dobrze robi publikując szczegóły błędu

Odrobinę nie rozumiem opieszałości Microsoftu – na tę podatność wskazywano nie tylko w listopadzie, ale również w czerwcu – wtedy uaktualnienia okazały się niewystarczające. 90 dni od zaraportowania usterki to całkiem sporo czasu – zwłaszcza, że została ona świetnie opracowana przez badaczy skupionych wokół Google. Wygląda na to, że na przeszkodzie Microsoftowi nie stało nic, co mogłoby następnie spowodować aż takie opóźnienie.

Niekorzystna dla Microsoftu jest również sytuacja z opóźnieniem poprawek „patch tuesday”. Można jednak mieć nadzieję, że upublicznienie szczegółów błędu zmotywuje giganta do przyspieszenia prac nad stosownymi poprawkami. Przy okazji, warto mieć nadzieję, że aktualizacja zawierająca w sobie wszystkie potrzebne składniki, nie zepsuje przy okazji maszyn. Na problemy z tą sferą działania Microsoftu wskazywaliśmy w tekście, w którym zwracaliśmy uwagę na słabe punkty mechanizmów aktualizacji nowego systemu – Windows 10, w którym niektóre uaktualnienia psuły potrzebne funkcje.


Niedawno uruchomiliśmy serwis z Pracą w IT! Gorąco zachęcamy do przejrzenia najnowszych ofert pracy oraz profili pracodawców.