Microsoft opet nije ispravio bezbednosni propust u Windowsu na vreme, Google objavio detalje o bagu

Vesti, 20.02.2017, 01:00 AM

Microsoft se ponovo našao u neprijatnoj situaciji zbog toga što nije stigao da ispravi bezbednosni propust na vreme.

Po drugi put za poslednja tri meseca, inženjeri kompanije Google objavili su informacije o bagu u operativnom sistemu Windows, ne sačekavši da Microsoft ispravi bezbednosni propust koji su otkrili, a koji utiče na različita izdanja Windowsa, od Windows Vista Service Pack 2 do najnovijeg Windows 10.

U pitanju je propust u Windows GDI (Graphics Device Interface) (gdi32.dll). Ovaj propust utiče na sve programe koji koriste ovu biblioteku, i ako se iskoristi, može omogućiti hakerima krađu informacija iz memorije.

Prema informacijama koje je objavio Googleov Project Zero tim, bag je bio deo većeg paketa bagova koji su otkriveni u martu prošle godine i ispravljeni tri meseca kasnije, kada je Microsoft objavio MS16-074.

Mateus Jurčik, Googleov inženjer koji je otkrio ove bagove kaže da su zakrpe koje je Microsoft tada objavio bile nedovoljne, i da su neki od propusta koje je on prijavio bili neispravljeni.

Posle naknadnih ispitivanja, Jurčik je ponovo 16. novembra poslao izveštaj o bagovima Microsoftu, koji nije uspeo da ih ispravi u roku od 90 dana koji Google ostavlja proizvođačima softvera pre nego što objavi informacije o bagu.

Ovo je drugi put u poslednja tri meseca da je Google po isteku roka od 90 dana istupio protiv Microsofta. Isto se dogodilo i u novembru prošle godine kada je Googleov Project Zero tim objavio detalje o 0-day propustu koji je koristila grupa APT28. To se dogodilo deset dana pre nego što je Microsoft objavio novembarsko izdanje zakrpa.

Tada su iz Googlea rekli da su preduzeli ovaj korak da bi omogućili korisnicima da se zaštite dok Microsoft ne objavi zakrpu.

Tada je izvršni potpredsednik MicrosoftaTeri Majerson nazvao Googleov potez "razočaravajućim" jer je doveo u opasnost korisnike.

Majerson sada ne može da kaže isto, jer je Google objavio detalje o propustu 14. februara, na dan kada je Microsoft trebalo da objavi februarske zakrpe.

Međutim, Microsoft je odložio njihovo objavljivanje do sledećeg meseca, navodeći kao razlog problem koji se javio u poslednjem trenutku a koji bi mogao da utiče na neke korisnike.

Googleova odluka je samo bila direktan odgovor na Microsoftovu nameru da ne isporuči nijedno ažuriranje ovog meseca.

Prema rečima Jurčika, propust koji Microsoft nije ispravio, CVE-2017-0038, omogućava napadačima da čitaju sadržaj memorije pomoću malicioznih EMF fajlova. Loša vest je da EMF fajl može biti sakriven u drugim dokumentima.

Ozbiljnost ove vrste napada zavisi od toga gde se EMF fajl izvršava u memoriji, i koja vrsta podataka se tu nalazi.

Googleov inženjer nije dao savet korisnicima kako da se zaštite od ovakvih napada. Korisnici Windowsa ostaće podložni napadima do 15. marta, kada Microsoft planira da objavi i februarska i martovska ažuriranja za bezbednosne propuste. Korisnici Windowsa ne treba da paniče, jer je hakerima potreban fizički pristup uređaju da bi iskoristili propust.

Istog dana kada je Jirčik objavio informacije o ovom propustu, drugi članovi Google Project Zero tima objavili su informacije o 16 drugih bezbednosnih propusta koje je Microsoft ranije ispravio u Windows NVIDIA Driver.