Google dezvăluie încă o breșă de securitate în Windows 10
Google a dezvăluit un defect al browser-ului Microsoft Edge la începutul acestei săptămâni, după ce Microsoft nu a reușit să corecteze bug-ul la timp. Acum echipa de cercetători din domeniul securității Google Project Zero dezvăluie încă un defect de securitate Windows 10 pe care Microsoft din nou nu a reușit să îl corecteze înainte de a expira perioada impusă de Google de 90 de zile. Neowin a reperat că Google a raportat două bug-uri la Microsoft în noiembrie, dar compania s-a ocupat numai de una dintre ele printr-un patch lansat recent.
Cea mai recentă problemă neprotejată este o elevație a privilegiilor, care permite unui utilizator obișnuit să obțină privilegii de administrator pe un sistem. Microsoft a apreciat defectele drept „importante”, dar nu „critice”, deoarece nu pot fi exploatate de la distanță. Este încă o problemă importantă de rezolvat, deoarece un atacator ar putea combina acest lucru cu o execuție separată necunoscută a codului de la distanță pentru a obține accesul la nivel de administrator, deși acest scenariu este puțin probabil să se întâmple, decât dacă Microsoft nu dă dovadă de promptitudine în rezolvarea problemei.
Nu este clar când Microsoft intenționează să abordeze cel mai recent defect de securitate din Windows 10 și compania trebuie încă să rezolve vulnerabilitatea Edge, dezvăluită de Google la începutul acestei săptămâni. Google și Microsoft au un istoric de dezacorduri față de abordarea Google privind divulgarea vulnerabilităților. Microsoft a ripostat anul trecut abordarea Google privind patch-urile de securitate, după ce a descoperit un defect al aplicației Chrome și a dezvăluit-o „în mod responsabil” către Google, astfel încât compania a avut suficient timp să o repare.
Politica Google de a dezvălui probleme de securitate nerezolvate în termen de 90 de zile este deseori criticată și aplaudată în aceeași măsură. Există suficiente dovezi care sugerează că vulnerabilitățile de securitate cresc în Windows și în întreaga industrie, iar Microsoft a încercat în mod clar să remedieze aceste două probleme cu multă atenție. Se poate de asemenea susține că Google face software-ul rival mai sigur prin eforturile sale, contribuind la securitatea software-ului pentru toți utilizatorii. Cu toate acestea, Google are și interese comerciale competitive, iar Project Zero a fost neobișnuit de agresiv în găsirea și publicarea de noi vulnerabilități.
Cum rămâne cu sloganul „Don’t be evil!”?