Microsoft обиделась на Google за раскрытие уязвимостей в Windows
Новости Новости Windows
Еще две незакрытые уязвимости в Windows вышли на публичное поле после истечения 90-дневного периода ожидания до опубликования, установленного Google Project Zero. Microsoft пропатчит только одну из этих уязвимостей в грядущем февральском вторнике патчей, в то время как обе стороны согласны в том, что второй баг не является проблемой безопасности.
Это согласие – единственные публичное расшаркивание между двумя компаниями: опубликование Google 29 декабря уязвимости повышения привилегий в Windows не только возродило дебаты о раскрытии между энтузиастами-безопасниками, но также разожгло публичную перепалку между Microsoft и Google, отмечает «Лаборатория Касперского».
Microsoft опубликовала заявление о своей политике согласованного раскрытия уязвимостей, одновременно показав, что просила Google придержать раскрытие уязвимости до январских обновлений, выпущенных на этой неделе. Google отказалась и опубликовала свои данные.
«Что бы ни заставляло Google придерживаться таких сроков раскрытия, решение, судя по всему, обусловлено не столько принципами, сколько желанием подловить нас, а в результате могут пострадать клиенты, – сказал Крис Бетц (Chris Betz) из Microsoft. – Что правильно для Google, не всегда правильно для клиентов. Мы призываем Google сделать защиту клиентов нашей коллективной первоочередной задачей».
В четверг истек другой срок оповещения Project Zero: более актуальный из багов Windows кроется в прохождении проверки имперсонации с помощью функции CryptProtectMemory. Google заявила, что ее реализация в CNG.sys не проверяет уровень имперсонации токена при захвате ID логина сессии.
«Обычный пользователь может имитировать другого на уровне идентификации и шифровать или дешифровывать данные для этой сессии, – написал Джеймс Форшо (James Forshaw) из Google в описании бага, где указано, что он касается Windows 7 и Windows 8.1. – Это может стать проблемой, если есть сервис, уязвимый для атаки установкой именованного канала, или с хранением шифрованных данных в открытой на чтение снаружи секции памяти с общим доступом».
Описание также содержит эксплойт подтверждения концепции, который использует уязвимость. Google доложила Microsoft об уязвимости 17 октября. Согласно примечанию к описанию, в понедельник Microsoft подтвердила, что им удалось воспроизвести проблему и обойти систему безопасности. Другое примечание, за вторник, гласит, что Microsoft планировала выпустить патч для этой уязвимости на этой неделе, но проблемы с совместимостью вызвали задержку и перенос на февраль.
|
28.04.2007 00:53
Microsoft признает провал Windows Vista
Microsoft признала то, о чем многие все время твердили - Windows Vista, так же известная как Windows Millennium 2, это всего лишь прикол, которого на самом деле никто не хочет
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone