neprihlásený Utorok, 11. decembra 2018, dnes má meniny Hilda   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Google to Microsoftu spravil zas, zverejnil neopravenú zraniteľnosť vo Windows 10

Značky: bezpečnosťWindows 10MicrosoftGoogle

DSL.sk, 22.4.2018


Prestrelka v oblasti bezpečnosti medzi dvojicou z trojice súčasných gigantov v oblasti spotrebiteľského IT, Google a Microsoftom, pokračuje ďalším dejstvom a Google ako viackrát v minulosti zverejnil detaily zatiaľ neopravenej zraniteľnosti vo Windows po tom, ako ju Microsoft nebol schopný opraviť do lehoty danej Googlom.

Google má svoj vlastný bezpečnostný tím Google Project Zero hľadajúci bezpečnostné chyby aj v produktoch iných spoločností a následne ich nahlasujúci tvorcom. Po nahlásení dáva tvorcom štandardne 90 dní na opravenie chýb a pokiaľ nie sú opravené do tohto termínu, aj tak o nich zverejní kompletné informácie.

Tentokrát Google identifikoval chybu v technológii UMCI, User Mode Code Integrity, ktorej úlohou je dovoliť spúšťanie len overeného a povoleného kódu. Technológia sa využíva na zabezpečenie funkčnosti Device Guard a prítomná je napríklad vo verzii respektíve po novom móde Windows 10 S.

Táto verzia pomocou tejto technológie dovoľuje spúšťanie iba aplikácií z Windows obchodu a toto obmedzenie má plniť dve funkcie, zabraňovať spúšťaniu škodlivého kódu a udržiavať inštaláciu operačného systému v čo najlepšej kondícii.

Bezpečnostný tím Google ale identifikoval zraniteľnosť, ktorá umožňuje cez zraniteľnosť v .NET obísť túto ochranu a zabezpečiť aj spúšťanie iného kódu. Zraniteľnosť neumožňuje preniknutie do Windows ani technické zvýšenie užívateľských oprávnení, pre zneužitie je už potrebná schopnosť vykonávať útočníkom zvolený kód. Kým to sa dá dosiahnuť napríklad zneužitím prípadných zraniteľností v prehliadači aktuálne pri návšteve podvrhnutej stránky, identifikovaná zraniteľnosť obídením technológie UMCI umožňuje trvalé infikovanie zariadenia.

Keďže okrem iného v .NET sú stále neopravené dve chyby umožňujúce obísť Device Guard označuje Google chybu za stredne závažnú.

Spoločnosti Microsoft chybu Google nahlásil 19. januára. Už vo februári Microsoft avizoval, že ju nestihne opraviť ani do apríla kvôli "nepredvídaným vzťahom v kóde". Google lehoty predlžuje o maximálne 14 dní aby napríklad spoločnosti mohli opraviť problémy v štandardný deň vydávania aktualizácií. Keďže Microsoft ale avizoval že chybu opraví až v máji respektíve v nešpecifikovaný termín pri vydaní novej verzie Windows 10 1803, tento týždeň Google zverejnil detaily chyby.

Prestrelka v oblasti bezpečnosti medzi Google a Microsoftom celkovo trvá už niekoľko rokov, keď Google viackrát zverejnil zraniteľnosti v Microsoft produktoch potom ako ich Microsoft v lehote neopravil. Microsoft tento postup kritizoval, Google na ňom trvá a považuje ho za postup zlepšujúci bezpečnosť.

V poslednom období sa prestrelka týkala špecificky bezpečnosti prehliadačov, keď na jeseň Microsoft zaútočil širšie na bezpečnosť Chrome s vyzdvihovaním lepšej bezpečnosti Edge napríklad vďaka technológii ACG, Arbitrary Code Guard. Google mu to vrátil vo februári, keď informoval o chybe umožňujúcej ACG v Edge obísť a to pred jej opravením Microsoftom z dôvodu nestihnutia lehoty.

Technické detaily aktuálnej zraniteľnosti je možné nájsť v tomto popise Google.


      Zdieľaj na Twitteri



Najnovšie články:

Vydaný dekóder AV1 od VLC, je lepší a rýchlejší
Voyager 2 vstúpil do medzihviezdneho priestoru
Intel má na rozdiel od 10-nm so 7-nm procesom úspešne napredovať
Sonda objavila na asteroide vodu
Aj Toshiba nasadí u HDD technológiu MAMR
Až 93 slovenských obcí spustí bezplatné WiFi4EU
NASA zverejnila "zvuky" z Marsu
Objavili sa údajné parametre Ryzenov 3000, zdajú sa byť príliš dobré
Namiesto výbežkov v displeji prichádzajú diery v displeji
Mozilla upozorňuje na negatíva a riziká prechodu Edge na Chromium


Diskusia:
                               
 

takže v microsofte už majú pohotovosť a porovnávajú nové source kódy chromium so starými? :)
Odpovedať Známka: 7.4 Hodnotiť:
 

skor chrome je jedna velka vada, ked sleduje uzivatelov a predava ich cenne data
detto google android
Odpovedať Známka: -0.4 Hodnotiť:
 

ešte že Google nevlastní android...
Odpovedať Známka: 5.2 Hodnotiť:
 

Presne tak. Legislativne je android v postaveni otroka, cize vsetko ide priekazne rovno majitelovi.
Odpovedať Známka: -5.0 Hodnotiť:
 

Apple nič? Nemôžeš zverejniť zraniteľnosti, keď žiadne nie sú. ;)
Odpovedať Známka: -7.5 Hodnotiť:
 

choď http://dopice.sk/lk9
Odpovedať Známka: 6.0 Hodnotiť:
 

v Google vládne homofóbia, preto Apple nič...
Odpovedať Známka: 3.3 Hodnotiť:
 

To skor relativnost benevolencie SaaS based eula win vs. ios je priekazne iluzorna.
Odpovedať Známka: -3.3 Hodnotiť:
 

neoplati sa zverejnovat to coho je tam neurekom

len par poslednych bolo tak trivialnych ze jobs sa v hrobe obracal
Odpovedať Známka: 7.5 Hodnotiť:
 

They figure Apple users are suffering enough already http://dopice.sk/lke
Odpovedať Hodnotiť:
 

Skôr ovracal
Odpovedať Hodnotiť:
 

Google asi nema personalne kapacity aby nasiel vsetky chyby v ios a mac os, lebo ich je tak vela
Odpovedať Známka: 10.0 Hodnotiť:
 

Mrkvosoft nikdy nic nestiha a to co stihne je, odpad ako cely win 10
Odpovedať Známka: 0.0 Hodnotiť:
 

Nie je to odpad, len je to určené pre priemerného Američana. Mrkvosoft nepočítal s tým, že ho budú používať aj odborníci z DSL.SK :-)
Odpovedať Známka: 9.1 Hodnotiť:
 

Je to tak. Každý viac-ako-average-uživateľ už má Mac.
Odpovedať Známka: -5.8 Hodnotiť:
 

Úroveň viac-ako-average-uživateľ je priekazne leda zúfalým pokusom upliecť z hovna bič štatistikou.
Odpovedať Známka: 10.0 Hodnotiť:
 

Som python developer, takze skor viac-ako-average-uživateľ. Styri roky som daval sance Apple, ale ten ich prijebany OS je vhodny akurat na Facebook a priemerne Office dokumenty.
Vratil som sa na linux a bola to najlepsia vec, aku som kedy urobil.
Odpovedať Známka: 7.3 Hodnotiť:
 

Ja som unix admin a pouzivam windows ... No co sem tam si rad kliknem na start :D
Odpovedať Hodnotiť:
 

Zas mazali slusny prispevok k veci a znovu bez vysvetlenia!

Odpovedať Hodnotiť:

Pridať komentár