Google znalazło kolejną lukę w Windows

Firma Google w swoich szeregach posiada bardzo wiele grup, które wykonują najróżniejsze powierzone im zadania, zaś bardzo ciekawą i zarazem kontrowersyjną jest Google Security Team. Dlaczego akurat zespół od bezpieczeństwa? Google wpadło kiedyś na pomysł, że stworzy ekipę odpowiedzialną za wyszukiwanie dziur w aplikacjach i systemach operacyjnych firm trzecich, dzięki którym będzie możliwe ich forsowanie. Tutaj od razu rzuca się w oczy fakt, że zespół nie bada poziomu bezpieczeństwa swoich produktów, ale konkurencji. Założenia przyjęto proste - jeżeli wykryjemy lukę, piszemy do autora pechowego oprogramowania, że takie coś istnieje i dajemy mu czas w jakim ma wykonać i opublikować poprawkę. Jeżeli nie dostosuje się do naszych wytycznych, publikujemy w internecie informację na temat wykrytej dziury wraz ze sposobami jej wykorzystania. Ile czasu producent otrzymuje na poprawienie błędu? Jeżeli luka nie jest poważna to 60 dni, w przypadku krytycznej tylko 7 dni.

To może wydawać się śmieszne i nierealne, ale Google bardzo skrupulatnie trzyma się wytycznych i bez skrupułów po upłynięciu czasu ultimatum publikuje informacje o wszelkich podatnościach. Google Security Team badając kod źródłowy systemu Windows znalazł lukę, która umożliwia uzyskanie uprawnień administratora przez dowolnego użytkownika. Co ciekawe, wpis sugeruje (Windows NT/2K/XP/2K3/VISTA/2K8/7/8), że dotyczy to wszystkich wersji Okienek bazujących na NT. Niestety, Google zamiast oddać sprawę do firmy Microsoft postanowiło od razu opublikować swoje odkrycie na stronie internetowej wraz ze wszystkimi szczegółami. Nie trzeba było długo czekać, aż powstanie złośliwe oprogramowanie, które będzie wykorzystywać odkrytą podatność. Czy Google postąpiło etycznie? Moim zdaniem nie. Po pierwsze nie zgłosiło sprawy prosto do Microsoftu, po drugie nie został zachowany właściwy odstęp czasowy.

Już same założenia grupy mogą budzić bardzo skrajne uczucia. Czas 7 dni na poprawienie krytycznej luki jest po prostu niewystarczający, wszak oprogramowanie w dzisiejszych czasach bywa bardzo rozbudowanie. Oprócz samego napisania poprawki należy ją jeszcze przetestować na różnych konfiguracjach, poprawić ewentualne błędy i dopiero możemy rozprowadzać ją do użytkowników końcowych. Niekiedy samo pisanie łatki zajmuje więcej niż tydzień. Co do sprawy błędu krytycznego - Microsoft pracuje nad poprawką, ale na ten gorący moment, gdzie nasze systemy są zagrożone. firma nie podała żadnych informacji jak się zabezpieczyć. Pozostanie nam czekać na stosowną aktualizację i zachować czujność.

Źródło: Seclist