Microsoft обиделась на Google за раскрытие уязвимостей в Windows



Windows


Еще две незакрытые уязвимости в Windows вышли на публичное поле после истечения 90-дневного периода ожидания до опубликования, установленного Google Project Zero. Microsoft пропатчит только одну из этих уязвимостей в грядущем февральском вторнике патчей, в то время как обе стороны согласны в том, что второй баг не является проблемой безопасности.

Это согласие – единственные публичное расшаркивание между двумя компаниями: опубликование Google 29 декабря уязвимости повышения привилегий в Windows не только возродило дебаты о раскрытии между энтузиастами-безопасниками, но также разожгло публичную перепалку между Microsoft и Google, отмечает «Лаборатория Касперского».

Microsoft опубликовала заявление о своей политике согласованного раскрытия уязвимостей, одновременно показав, что просила Google придержать раскрытие уязвимости до январских обновлений, выпущенных на этой неделе. Google отказалась и опубликовала свои данные.

«Что бы ни заставляло Google придерживаться таких сроков раскрытия, решение, судя по всему, обусловлено не столько принципами, сколько желанием подловить нас, а в результате могут пострадать клиенты, – сказал Крис Бетц (Chris Betz) из Microsoft. – Что правильно для Google, не всегда правильно для клиентов. Мы призываем Google сделать защиту клиентов нашей коллективной первоочередной задачей».

В четверг истек другой срок оповещения Project Zero: более актуальный из багов Windows кроется в прохождении проверки имперсонации с помощью функции CryptProtectMemory. Google заявила, что ее реализация в CNG.sys не проверяет уровень имперсонации токена при захвате ID логина сессии.

«Обычный пользователь может имитировать другого на уровне идентификации и шифровать или дешифровывать данные для этой сессии, – написал Джеймс Форшо (James Forshaw) из Google в описании бага, где указано, что он касается Windows 7 и Windows 8.1. – Это может стать проблемой, если есть сервис, уязвимый для атаки установкой именованного канала, или с хранением шифрованных данных в открытой на чтение снаружи секции памяти с общим доступом».

Описание также содержит эксплойт подтверждения концепции, который использует уязвимость. Google доложила Microsoft об уязвимости 17 октября. Согласно примечанию к описанию, в понедельник Microsoft подтвердила, что им удалось воспроизвести проблему и обойти систему безопасности. Другое примечание, за вторник, гласит, что Microsoft планировала выпустить патч для этой уязвимости на этой неделе, но проблемы с совместимостью вызвали задержку и перенос на февраль.

Автор: Softodrom.ru
Дата:
Новые статьи: Новости Windows
23.06.2020 18:39

Windows 7 внезапно получила обновление

Microsoft выпустила обновление для операционных систем Windows 7 и 8.1, устанавливающее новый браузер Edge на движке Chromium

27.02.2020 22:12

Microsoft запустила «горячую линию» об окончании поддержки Windows 7

По просьбам пользователей компания Microsoft открыла «горячую линию» для ответа на вопросы по поводу окончания поддержки Windows 7

27.01.2020 06:21

От Microsoft потребовали открыть исходный код Windows 7

Фонд свободного ПО объявил сбор подписей за открытие исходного кода операционной системы Windows 7

24.01.2020 15:26

МВД России отказывается от Windows

МВД России закупило компьютеры на отечественной операционной системе на общую сумму 1,4 млрд руб.

22.01.2020 03:04

Пользователей Windows 7 призвали переходить на Ubuntu

У миллионов пользователей Windows 7 после прекращения компанией Microsoft поддержки этой операционной системы появилось два пути, чтобы обезопасить себя и свои данные

Популярное: Новости Windows
24.01.2020 15:26

МВД России отказывается от Windows

МВД России закупило компьютеры на отечественной операционной системе на общую сумму 1,4 млрд руб.

19.10.2015 22:29

Скриншоты Windows Server 2016 Technical Preview 4 Build 10565

Работа над Windows Server 2016 достигла стадии Technical Preview 4

27.02.2008 15:06

Microsoft заблокировала наиболее популярные способы обхода активации Windows Vista

Microsoft заблокировала работу двух наиболее популярных утилит для незаконной активации Windows Vista

12.03.2015 21:39

Новый патч Microsoft вызывает циклический рестарт Windows

Пока неясно, отзовет ли Microsoft дефектный патч для доработки, как это уже не раз происходило

07.08.2014 15:27

Превью-версия Windows 9 может выйти уже осенью

Превью-версия Windows Threshold может выйти уже этой осенью

» Оставьте первым свой комментарий

Новости /
Новости Windows /
Microsoft обиделась на Google за раскрытие уязвимостей в Windows
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика