Microsoft обиделась на Google за раскрытие уязвимостей в Windows
Новости Новости Windows
Еще две незакрытые уязвимости в Windows вышли на публичное поле после истечения 90-дневного периода ожидания до опубликования, установленного Google Project Zero. Microsoft пропатчит только одну из этих уязвимостей в грядущем февральском вторнике патчей, в то время как обе стороны согласны в том, что второй баг не является проблемой безопасности.
Это согласие – единственные публичное расшаркивание между двумя компаниями: опубликование Google 29 декабря уязвимости повышения привилегий в Windows не только возродило дебаты о раскрытии между энтузиастами-безопасниками, но также разожгло публичную перепалку между Microsoft и Google, отмечает «Лаборатория Касперского».
Microsoft опубликовала заявление о своей политике согласованного раскрытия уязвимостей, одновременно показав, что просила Google придержать раскрытие уязвимости до январских обновлений, выпущенных на этой неделе. Google отказалась и опубликовала свои данные.
«Что бы ни заставляло Google придерживаться таких сроков раскрытия, решение, судя по всему, обусловлено не столько принципами, сколько желанием подловить нас, а в результате могут пострадать клиенты, – сказал Крис Бетц (Chris Betz) из Microsoft. – Что правильно для Google, не всегда правильно для клиентов. Мы призываем Google сделать защиту клиентов нашей коллективной первоочередной задачей».
В четверг истек другой срок оповещения Project Zero: более актуальный из багов Windows кроется в прохождении проверки имперсонации с помощью функции CryptProtectMemory. Google заявила, что ее реализация в CNG.sys не проверяет уровень имперсонации токена при захвате ID логина сессии.
«Обычный пользователь может имитировать другого на уровне идентификации и шифровать или дешифровывать данные для этой сессии, – написал Джеймс Форшо (James Forshaw) из Google в описании бага, где указано, что он касается Windows 7 и Windows 8.1. – Это может стать проблемой, если есть сервис, уязвимый для атаки установкой именованного канала, или с хранением шифрованных данных в открытой на чтение снаружи секции памяти с общим доступом».
Описание также содержит эксплойт подтверждения концепции, который использует уязвимость. Google доложила Microsoft об уязвимости 17 октября. Согласно примечанию к описанию, в понедельник Microsoft подтвердила, что им удалось воспроизвести проблему и обойти систему безопасности. Другое примечание, за вторник, гласит, что Microsoft планировала выпустить патч для этой уязвимости на этой неделе, но проблемы с совместимостью вызвали задержку и перенос на февраль.
|
28.04.2007 00:53
Microsoft признает провал Windows Vista
Microsoft признала то, о чем многие все время твердили - Windows Vista, так же известная как Windows Millennium 2, это всего лишь прикол, которого на самом деле никто не хочет
|
|
Все рубрики статей (3126 / 327):
|
|
