Google odkril ranljivost v Windows in jo (pre)hitro pokazal

Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v številnih primerih ni dovolj za pripravo popravka. Microsoft je v konkretnem primeru dejal, da nima nobenih dokazov, da bi se ranljivost že izkoriščala. V preteklosti sta bila Microsoft in Google zaradi prekratkih rokov že na bojni nogi in to ne enkrat.

Z zadnjo ranljivostjo je prizadeta datoteka cng.sys (Windows Kernel Cryptography Driver), kjer gre za prekoračitev predpomnilnika (buffer overflow). Z manipulacijo vhodnih podatkov je možno vriniti kodo, ki se potem izvede izven Chromovega peskovnika. Ranljiva sta Windows 7 in Windows 10. Google je pripravil tudi delujoč prototip (proof of concept code), s katerim je možno zrušiti Windows 10. Ranljivost se je izkoriščala skupaj z luknjo v Chromu v knjižnici za izpis pisav FreeType, ki so jo odpravili minuli teden.