Google começou o ano novo por criticando Microsoft sobre um problema de segurança do Windows 8.1. Publicou uma falha de um dos seus investigadores descobriram no ano passado, apesar de uma correção ainda não estava em. Por que a Microsoft ainda não corrigiu a vulnerabilidade não é clara. "Neste caso, 90 dias claramente não foi o suficiente para a Microsoft para se sentir confiante em distribuir uma atualização bem testado", disse Sophos 'Chester Wisniewski.crosoft teve um início de fogo a 2015, quando o Google na semana passada divulgou uma vulnerabilidade do kernel do Windows 8.1 Update.
Do Google Project Zero James Forshaw, que descobriu a falha, classificou-o como uma questão de alta gravidade.
Embora Forshaw relataram que a Microsoft em setembro passado, a empresa ainda não tinha resolvido o problema quando o Google publicou.
A vulnerabilidade permite que as pessoas falsamente posar como administradores.
Atraso da Microsoft pode ser devido ao "interesse em concorrer prioridades internas aos e-mails perdidos", disse Jared DeMott, principal pesquisador de segurança na Bromium. "Mas isso não parece ser algo que deve demorar mais do que 90 dias para corrigir."
Detalhes sobre a falha
O "NtApphelpCacheControl" chamada de sistema no Windows Update 8.1 permite que os dados de compatibilidade de aplicativos administradores de cache para reutilização rápida quando novos processos são criados. A função "AhcVerifyAdminContext" verifica para confirmar se a pessoa tentando guardar novos dados é de fato um administrador.
No entanto, a função não verifica corretamente o nível de símbolo de representação da pessoa tentando guardar novos dados, disse Forshaw. Assim, é possível obter um token de identificar a partir de um processo de sistema local e ignorar a verificação.
Forshaw testou a prova de conceito em ambas as versões do Windows 8.1 Atualização de 32 bits e 64 bits.
A falha "parece ser um escalonamento de privilégios local", disse DeMott TechNewsWorld.
"LPEs foram sempre bom ter para os atacantes", observou ele, mas agora que os aplicativos estão contidos em caixas de areia, LPEs "são muitas vezes a resposta para se libertar da caixa de areia para obter o controle do complexo OS após o primeiro explorar."
Por que publique o Flaw Now?
Forshaw deu Microsoft 90 dias para corrigir a falha depois do relatório 30 de setembro.
Microsoft poderia ter movido mais rápido para corrigir a falha, uma vez que Forshaw classificado como de alta gravidade e tendo em conta as muitas violações de dados que têm ocorrido nos últimos meses.
"James tem uma história de trabalhar com a Microsoft - ele foi um vencedor recompensa Microsoft," DeMott apontou. "Eles deveriam ter tomado a sua apresentação muito a sério, pois eles sabem quem ele é."
Microsoft não respondeu ao nosso pedido para comentar o assunto.
The Flaw Google-Microsoft Guerra
Google vem acontecendo depois que a Microsoft para seu atraso na fixação de falhas.
Do Google Tavis Ormandy, em particular, tem postado informações sobre várias falhas no código do Windows ao longo dos anos. Em maio de 2013, ele postou detalhes sobre uma falha no de Seclists.org Full Disclosure sem notificar a Microsoft sobre isso primeiro, desencadeando um debate na indústria de segurança.
Ormandy também acusou a Microsoft de ser hostil com pesquisadores de vulnerabilidade.
Mais tarde, naquele mês, engenheiros de segurança do Google Chris Evans e Drew Hintz sugeriu sua recomendação padrão de 60 dias - as empresas de tempo deve começar a corrigir vulnerabilidades antes de sua publicação - ser reduzido para sete dias.
