Microsoft: Google создала угрозу пользователям Windows из-за раскрытия уязвимости (обновлено)

  • Категория: Windows 10
  • Дата: 1-11-2016, 22:15
  • Просмотров: 2 172

Microsoft: Google создала угрозу пользователям Windows из-за раскрытия уязвимости (обновлено)

Ещё вчера компания Google опубликовала пост в своем блоге безопасности, чтобы предупредить пользователей Windows о критической уязвимости в данной ОС (и она пока не была исправлена компанией Microsoft). Из данных компании следует, что данная уязвимость особенно опасна, так как она активно эксплуатируются. Вот её технические подробности (на английском языке вам всё станет ясно):

The Windows vulnerability is a local privilege escalation in the Windows kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.


Кроме того, Google упомянула уязвимость в Adobe Flash Player, которую можно исправить с помощью новых обновлений в программе обновления Adobe и автоматического обновления Chrome. Напомню, что компания Google уже не в первый раз раскрывает подобную информацию (если затронутый производитель не выпускает исправление для уязвимости в течение семи дней после получения соответствующего уведомления от компании).

Вот заявление от Microsoft:

Мы считаем, что в раскрытие уязвимости компанией Google является потенциальным риском для пользователей. Windows — единственная платформа, на которой сообщения о проблемах безопасности рассматриваются и исправляются максимально быстро. Мы рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge для лучшей защиты.


Update: Microsoft исправит данную уязвимость в следующий вторник. Об этом заявил Терри Майерсон. Всю информацию можно прочитать тут.

Илья Источник:
venturebeat.com
  • +4
Похожие новости



  • Комментарии
  • ВКонтакте
  • Facebook
  1. FDen
    Модератор | 1 ноября 2016 22:38
    • +1
    Везде пишут, что Google дала Microsoft только 10 дней. Раньше же у Google было правило 90 дней до раскрытия уязвимости.
    Давно они сократили срок на исправление, или это индивидуальный подход такой?
  2. La_Sh
    Посетитель | 2 ноября 2016 00:47
    • -3
    Нечего динамить, латать надо сразу.
  3. HorsyNox
    Посетитель | 2 ноября 2016 02:35
    • +2
    Цитата: La_Sh
    латать надо сразу

    Ну сказать проще, конечно. Можно сказать и "писать надо сразу максимально секьюрно и без единого бага", но это ж невозможно в принципе. Чтобы залатать нужно как минимум сначала разобраться с проблемой, потом понять как именно её правильно залатать, а потом ещё и тестировать, чтобы ничего не отвалилось, а если что отвалилось, то ещё тратить время на исправление и дополнительное тестирование. Не всегда это реально успеть за 10 дней.
  4. build_new
    Посетитель | 2 ноября 2016 08:56
    • +1
    с заявлением от Microsoft я полностью согласен...
  5. powerslice
    VIP | 2 ноября 2016 10:24
    • +1
    Google и Microsoft главные враги. Бизнес же, вспомните, как они клиент ютуба от МС забанили.
  6. sovaz1997
    VIP | 2 ноября 2016 12:27
    • 0
    Цитата: La_Sh
    Нечего динамить, латать надо сразу.

    Даже в моей шахматной программе не всегда можно быстро исправить баг (там более 5 000 строк). А в Windows - более 30 000 000 (точно не помню, сколько). Вот и думайте.
  7. powerslice
    VIP | 2 ноября 2016 13:02
    • 0
    5 000 это очень мало :) Видимо проблема в проектировании
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.


Пользователи онлайн
Всего на сайте: 22
Пользователей: 0
Гостей: 22
Роботы: Google Yandex Inktomi Spider
+2  
Новостей: 8350
+0  
Комментариев: 38354
+0  
Пользователей: 8411
Чат

Последние комментарии
    HorsyNox-фото
    HorsyNox Пресс-релиз сборки Windows 10 ...
    Цитата: Spongify
    Я могу хоть щас выполнить от рута rm -rf в корне

    Нафига?

    Цитата: Spongify
    отрубить слежку вечную и телеметрию (вернее даже не включать это, в макоське из телеметрии-то всего лишь отправка отчетов о сбоях и работе)

    Какая детская наивность.

    А по поводу оставляемых багов - ну, если авторы старых программ их чинить не собираются, то мс по крайней мере обеспечивает этим программам привычную среду функционирования, а не тупо убивает. Баги ж оставляются не целиком, а с условиями типа \"если работает программа такая-то такой-то версии, то\". И это в основном касается тех мест, где программы использовали недокументированные особенности системы и разные хаки вместо того, чтобы делать всё как положено.
    Опера во времена классики тем же занималась, кстати. Исправляла кривые сайты внутри своего браузера в тех местах, где сайты использовали решения, не описанные в актуальных веб-стандартах как стабильные и общепринятые.
    Spongify-фото
    Spongify Пресс-релиз сборки Windows 10 ...
    HorsyNox Майкрософт уже пару лет только обещает запилить что то полезное, по факту же десятка не далеко от 7 ушла. Они до сих пор не сделали всего что обещали в первом creators update. Даже интерфейс под один стандарт причесать уже два года не могут. Этот индус выпендривается что журналисты айпадами пользуются, так у мелкософта для работы в тач режиме софта то и нет, даже сама система только на половину под тач заточена, так что хоть айпад и не полноценный комп как планшет он на голову выше всяких сюрфейсов, что в общем то и видно по продажам.
    Лично я под костылями подразумеваю там дровишки шестого года, рабочий стол 3.0-ки, поверх которого элегантно проводник натянут, поддержка багов WinAPI для совместимости с приложениями (я абсолютно серьезно сейчас, они специально оставляют баги, чтобы приложения не прекратили поддерживаться) и так далее.
    Любой компьютер — это инструмент, а не какая-то дрисня, с которой по каждому поводу нужно с бубном плясать. Компьютер работает для меня, а не я работаю для компьютера.
    На iOS можно спокойно пользоваться сенсорным экраном с жестами, ввиду адаптированности приложений. На iOS нажал и работает. Там все логично, быстро, удобно. Поэтому под конкретные задачи ее выбор весьма оправдан.
    Есть ли ограничения в макоси? Я могу хоть щас выполнить от рута rm -rf в корне на маке только что из коробки. Не верх свободы ли, а? :) Ну и, разумеется, в отличии от винды я могу нормально отрубить обновления, отрубить слежку вечную и телеметрию (вернее даже не включать это, в макоське из телеметрии-то всего лишь отправка отчетов о сбоях и работе). Ну и мне тут ничего не навязывается вообще, делаю в макоси все что хочу абсолютно. Так что анальноогороженная винда только. Винда и есть подстраиваться под клетку. Ведь она наносит ограничения в удобстве работы и отнимает время на бесполезную хрень, вроде настройки обновлений, различного гуглинга и так далее.
    combat2-фото
    combat2 Microsoft выпустила обновление ...
    Ну и где обнова то ???
    HorsyNox-фото
    HorsyNox Пресс-релиз сборки Windows 10 ...
    Алло, они это и пытаются сделать. У них проблема с легаси (которое к тому же ещё и стабильное, но уже не расширябельное), а слезть с него сейчас таким же образом, как это удалось с OS9 в своё время, очевидно, уже не получается.
    Spongify-фото
    Spongify Пресс-релиз сборки Windows 10 ...
    Microsoft бы начать настоящие операционные системы выпускать, а не набор костылей, а потом уже на других рот открывать.
    А то в последнее время фэйл на фэйле. Про мобильные и планшеты вообще молчу.