Windows 8.1 ze znaną Microsoftowi od 90 dni luką "zero-day"

W ramach programu Project Zero firma Google automatycznie udostępniła raport, z którego dowiedzieć możemy się o luce w systemie Windows 8.1. Oznacza to, że Microsoft wiedział o niej 90 dni.

Luki w oprogramowaniu to w obecnych czasach nic niezwykłego. Zdarzają się praktycznie każdej firmie. Najważniejsze jednak, aby w przypadku wykrycia takiej podatności jak najszybciej ją załatać. W połowie roku firma Google uruchomiła program Project Zero, którego zadaniem jest poprawienie bezpieczeństwa internautów poprzez wyszukiwanie takich luk. W pierwszej kolejności o ich istnieniu dowiadują się twórcy oprogramowania, natomiast w momencie przygotowania stosownej łatki publikowana jest w Internecie oficjalna informacja.

Microsoft miał 90 dni...

30 września Google poinformowało Microsoft o wykryciu błędu w ahcache.sys/NtApphelpCacheControl, który co prawda nie pozwala na przeprowadzenie zdalnego ataku na system Windows 8.1, lecz i tak jest groźny ponieważ umożliwia podniesienie uprawnień do poziomu administratora.

Zobacz również:

"Ten błąd jest objęty 90-dniowym okresem ujawnienia. Jeżeli do tego czasu nie zostanie szeroko udostępniona poprawka, raport na temat błędu zostanie automatycznie udostępniony publicznie" - dzisiaj możemy przeczytać pod raportem, który zgodnie z tą deklaracją został publicznie opublikowany.

Oznacza to więc, że Microsoft przez 90 dni nie załatał luki, o której wiedział. Nie porozumiał się również z Google w sprawie ewentualnego przedłużenia 90-dniowego okresu, na co internetowy gigant, przy dobrze umotywowanej prośbie Microsoftu, prawdopodobnie by przystał.

Na koniec warto dodać, że firma Google wraz z raportem udostępniła także exploit PoC.

Microsoft reaguje

W odpowiedzi na ujawnienie raportu Microsoft wystosował oświadczenie, w którym zapewnia, że pracuje nad udostępnieniem stosownej poprawki. Podkreśla też, że wykorzystanie luki wymaga lokalnego zalogowania się do atakowanego komputera oraz zachęca do korzystania z oprogramowanie antywirusowego i firewalli.

Ciekawe, czy Microsoft faktycznie pracował przez wspomniany okres nad poprawką, czy też dopiero teraz zorientował się, że o czymś zapomniał...


Zobacz również