Google spet razkril nezkrpano ranljivost v Windows

Google je ponovno ujezil Microsoft, saj je spet razkril podrobnosti o varnostni luknji, preden je Microsoft pripravil in izdal popravek zanjo. To se načeloma ne počne, a če proizvajalec luknjičaste programske opreme ne reagira na opozorila o luknji, je to sprejemljiva poteza. Google in Microsoft sta se že pred dvema letoma pregovarjala, ali je 90 dni dovolj dolgo obdobje, da bi proizvajalec moral pokrpati luknje. Google vztraja pri brezpogojnem spoštovanju tega lastnega roka, zato njegovi raziskovalci po 90 dneh od obvestila proizvajalcu luknjo razgrnejo javnosti, medtem ko Microsoft poudarja, da stvari niso črno-bele. Pred tremi meseci se je zgodilo isto in spet je Microsoft tarnal, da se Google obnaša grdo.

To pot se je zgodilo podobno. Google je razkril luknjo v komponenti GDI Library (gdi32.dll), ki napadalcu omogoča dostop do pomnilnika prek okuženih datotek WMF. Prizadeti so vsi operacijski sistemi od Windows Vista do Windows 10. Ranljivost so odkrili v okviru programa Google Project Zero, ki išče ranljivosti v vsej kodi, ne le lastni. Ko kakšno najdejo, obvestijo proizvajalca, 90 dni pozneje pa luknjo priobčijo na spletu. Če popravka še ni, dobimo tako imenovano ranljivost zero-day, ki je zelo nevarna, saj vsi vedo zanjo, prave zaščite pa ni, zato je treba improvizirati.

V konkretnem primeru je Google Microsoft na ranljivost opozoril 9. junija in Microsoft je 15. junija izdal popravek. Žal je bil ta pomanjkljiv, saj so nekatere ranljivosti ostale, na kar je Google Microsoft opozoril 16. novembra. Minil je december, januar in februar, zgodilo pa se ni nič, zato je luknja sedaj razkrita. Možno je, da je Microsoft želel luknjo zakrpati s paketom popravkov 14. februarja, a so ga iz ne povsem pojasnjenih razlogov preložili za nedoločen čas.