Google to spravil Microsoftu zase, zverejnil chybu vo Windows pred opravením

Značky: WindowsbezpečnosťGoogleMicrosoft

DSL.sk, 20.2.2017

Spoločnosť Microsoft opäť nestihla vydať opravu bezpečnostnej chyby objavenej a nahlásenej spoločnosťou Google skôr ako ju Google zverejnil.

Google má svoj vlastný bezpečnostný tím hľadajúci bezpečnostné chyby aj v produktoch iných spoločností a následne ich nahlasujúci tvorcom. Google sa pritom drží svojich pravidiel ohľadom lehôt, do ktorých by chyby mali byť opravené.

Na opravenie bežných bezpečnostných zraniteľností dáva tvorcom softvéru 90 dní na opravu, následne sa automaticky informácie o chybe zverejnia.

Tak sa stalo aj v tomto prípade. 16. novembra minulého roka Mateusz Jurczyk identifikoval a nahlásil zraniteľnosť vo Windows knižnici GDI, gdi32.dll.

Zraniteľnosť sa nachádza v implementácii spracovávania obrázkov formátu EMF, Enhanced MetaFile, využívajúcich bitmapy formátu DIB, Device Independent Bitmap. Konkrétne pri spracovávaní funkcie EMR_SETDIBITSTODEVICE nie je kontrolovaná skutočná veľkosť bitmapy a táto funkcia vykresľujúca do obrázku bitmapu tak môže vykresliť viac dát ako sa v bitmape skutočne nachádza. Tieto dáta sa kopírujú z pamäte nachádzajúcej sa za DIB bitmapou a útočník môže takto získať dáta užívateľa.

Viaceré softvéry renderujúce EMF umožňujú u vyrenderovaného obrázku ho nielen zobraziť užívateľovi ale aj získať jeho podobu a tým umožňujú útočníkovi prístup k týmto dátam. Podľa Jurczyka je zraniteľnosť zneužiteľná podvrhnutím stránky s EMF obrázkom cez Internet Explorer aj podvrhnutím .docx súboru s EMF cez Microsoft Office Online.

V prípade tejto zraniteľnosti navyše nejde o úplne novú zraniteľnosť. Google totiž už spoločnosť Microsoft na túto triedu zraniteľností upozornil v marci minulého roka, vrátane poukázania na nedostatočné ošetrenie pri implementácii EMR_SETDIBITSTODEVICE. Niektoré zraniteľnosti Microsoft opravil aktualizáciou MS16-074, podľa novembrových zistení Google je ale vyššie popísanú zraniteľnosť naďalej možné vo Windows zneužiť.

Aktuálny prípad je už niekoľkým, kedy Google informácie o zraniteľnosti vo Windows zverejnil pred jej opravením Microsoftom a spoločnosti sa preto už dostali aj do konfliktu. Ínformácie o zraniteľnosti boli zverejnené minulý utorok, kedy mal Microsoft vydať svoje pravidelné mesačné bezpečnostné aktualizácie. Pre bližšie nespresnený problém ich ale Microsoft nevydal a avizoval ich odloženie až o mesiac. Či spoločnosť plánovala opraviť zraniteľnosť nahlásenú Google nie je zatiaľ známe.

K ešte vážnejšiemu prípadu prišlo nedávno na konci októbra, kedy Google zverejnil informácie o vážnej chybe umožňujúcej zvýšenie oprávnení a okrem iného uniknutie škodlivého kódu z bezpečnostného sandboxu, aký využívajú webové prehliadače pre sťaženie reálneho zneužitia chýb. Chyba bola v tom čase navyše aktívne zneužívaná na Internete. Google tak dal Microsoftu na opravenie chyby iba 7 dní a keď tak spoločnosť nespravila, chybu po desiatich dňoch zverejnil.




Najnovšie články:



Diskusia:

gdfgdfgdgdhdg Od: fsdsdfs | Pridané: 20.2.2017 9:50 Oops!... I Did It Again Odpovedať Známka: 8.2 Hodnotiť:

Re: gdfgdfgdgdhdg Od: looolooo1 | Pridané: 20.2.2017 12:09 nech si Google uprace svoj bordel a potom nech kyda na ine spolocnosti nezastavam sa Microsoftu ... Odpovedať Známka: -5.0 Hodnotiť:

Re: gdfgdfgdgdhdg Od: 78569822365 | Pridané: 20.2.2017 14:24 Lenže tento článok nie je o chybe spoločnosti Google, ale o chybe spoločnosti Microsoft. Odpovedať Známka: 8.8 Hodnotiť:

Re: gdfgdfgdgdhdg Od: syntaxterrorXXX | Pridané: 20.2.2017 14:40 "Google to spravil Microsoftu zase" Z pohladu PM ide o "Repeating mistakes" opatovnym zasahovanim PM do kompetencii ineho PM. Z pohladu socialnych vied napriklad o svokru, zasahujucu do vychovy, ergo priekazne neschopnu vychovat samu seba. Odpovedať Známka: -7.8 Hodnotiť:

Re: gdfgdfgdgdhdg Od: Uuups | Pridané: 20.2.2017 15:31 https://www.youtube.com/watch?v=CduA0TULnow Odpovedať Hodnotiť:

F*ck Google! Od: GoogleHater | Pridané: 20.2.2017 9:58 Ked si google spravi poriadok vo svojom Play Store, ktory obsahuje aplikacie infikovane mallwarom, ked Google zabezpeci distribuciu bezpecnostnych updatov na vsetky Android zariadenia do 3 mesiacov od najdenia, potom budem jeho kroky schvalovat. Dovtedy su tieto kroky Google len vykrikom typu: Zlodej krici chytte zlodeja! Odpovedať Známka: 1.9 Hodnotiť:

Re: F*ck Google! Od: google-man | Pridané: 20.2.2017 10:53 na ten store si uz brusia zuby - na appky chystaju bezpecnostne audity, ktore by mali ten store precistit... co sa tyka updatov na android - nvidia shield tablet ziskal pred par tyzdnami updat na 7.0... sony bezne updatuje vsetko, plus robi svoje zariadenia fanusikom pristupne cez aosp (vratane oficialnej podpory, ked zdielaju svojich programatorov a aktivne ich odmenuju za prispevky do open-source komunity). fanuskovia potom mozu veselo portovat novy android, ked im skonci sony podpora. a ked to zvlada taka nvidia a sony, tak to mozu zvladat aj ostatni vyrobcovia. Odpovedať Známka: 8.5 Hodnotiť:

Re: F*ck Google! Od: Reikii | Pridané: 20.2.2017 10:58 Podobne aj u Huawei boli update na Android 7.0. Neviem ci u vsetkych modelov, ale na mojej Mate 8 uz hej. Odpovedať Známka: 6.7 Hodnotiť:

Re: F*ck Google! Od: dgrfhtgyjubkjinlko | Pridané: 20.2.2017 11:27 kludne im to moze kontrolovat MS, dat im 90dni na napravu a ak nic tak to zverejnit... Odpovedať Známka: 8.1 Hodnotiť:

Re: Off, F*ck Off Od: syntaxterrorXXX | Pridané: 20.2.2017 11:35 Akurát že súčasne so zverejnením by musel zažalovať sám seba za poškodzovanie dobrého mena, dosiahnutím rovnakej úrovne, kdežto prispievaním do linuxového jadra nepriamo odpovedá. Odpovedať Známka: -6.4 Hodnotiť:

jazykové okienko Od reg.: Adrique | Pridané: 20.2.2017 11:27 "mallware", to má niečo spoločné s mall.sk? ;-) Odpovedať Známka: 9.0 Hodnotiť:

Re: F*ck Google! Od: meheh | Pridané: 20.2.2017 14:55 a ako ma podla teba google prinutit vyrobcov aby updatovali svoje zariadenia? Odpovedať Hodnotiť:

Re: F*ck Google! Od: syntaxterrorXXX | Pridané: 20.2.2017 15:13 Presne tak. Ved to niezeby bol koncipient licencnej zmluvy pre Android priekazny. Odpovedať Hodnotiť:

hardening Od: fajnsmeker | Pridané: 20.2.2017 10:06 Windows by mohol mať voliteľne zapnuteľný hardening kernel. Síce to spomaluje, ale aspoň v Linuxe to trocha pomáha. Možno to už Windows má, neviem. Odpovedať Známka: 10.0 Hodnotiť:

Re: hardening Od: kajsmentke123 | Pridané: 20.2.2017 10:10 Windows ma mnozstvo veci (a nema zaroven)... Odpovedať Známka: 3.3 Hodnotiť:

chyba Od: mrkva_zimna | Pridané: 20.2.2017 11:44 Ta chyba bola udhalena skor. V junovej zaplate to malo byt opravene a ked to preverovali zistili ze diera ostala... Ups :-) Odpovedať Známka: 7.8 Hodnotiť:

Re: chyba Od: milan.ko | Pridané: 20.2.2017 13:50 Ta kniznica je stara snad ako Windows samotny. Mozno opravili inu chybu, ktora tam bola popri tejto, ked to prvy krat nakodili :D Odpovedať Hodnotiť:

Re: chyba Od: ajtacka | Pridané: 20.2.2017 13:54 Prvykrat sa pise spolu. Odpovedať Známka: 10.0 Hodnotiť:

Re: chyba Od: ajtacka | Pridané: 20.2.2017 13:55 Dva razy oddelene. Odpovedať Známka: 10.0 Hodnotiť:

ajpribor Od: syntaxterrorXXX | Pridané: 20.2.2017 14:02 Zrejme prvy krat je pisanie prvy krat poriadne zdovodnene. Odpovedať Známka: 3.3 Hodnotiť:

Re: chyba Od: ?:) | Pridané: 20.2.2017 14:04 DHL Odpovedať Hodnotiť:

Re: chyba Od: ventYl | Pridané: 21.2.2017 17:25 tipnem si, ze google nahlasil, ze v tomto konkretnom pripade tam je problem, niekto napisal do bugtrackingu, niekto ten task dostal, tak to fixol, zbehol testy a oznacil ako zavrete. Hotovo 100% Zamysliet sa 0% Druha vec je, ze Microsoftu moze byt u prdele ci je jeho software bezpecny alebo nie, kym mu zaraba prachy, co sa zjavne stale deje. Takze wocogo? Odpovedať Hodnotiť:

naschvali Od reg.: Zapredaný | Pridané: 20.2.2017 17:02 A tak im treba! A do nich! A este nech si dupnu! Odpovedať Hodnotiť:

fakt zlé Od: BaGoLo | Pridané: 21.2.2017 6:50 dosť zlý článok - od titulku až po obsah. "spravil zase"... to písal nejaký stredoškolák bez maturity? Každopádne: nie "Google to spravil", ale urobil to projekt ZERO, ktorý síce Google založil, ale nie je to priamo Google. Viacerí tu vedia, že je to jedna z najvýznamnejších aktivít svojho druhu, ktorá smeruje k zvyšovaniu bezpečnosti IT systémov. A postupujú podľa pravidiel, ktoré sú transparentné a vopred jasné. Je pravda, že veľké spoločnosti vďaka svojej neflexibilite a komplexnosti produktov s tým majú problém, ale práve o tom to je - mali by považovať bezpečnosť za vyššiu prioritu ako napríklad ošetrenie licenčných podmienok... Odpovedať Známka: 10.0 Hodnotiť:

Re: fakt zlé Od: baGoLo | Pridané: 21.2.2017 6:50 Problém nie je v tom, že Google, respektíve ZERO niečo zverejnil, ako sa to snaží článok podsúvať. Problém nie je ani v tom, že Microsoft má niekde chybu v nejakej knižnici... Všetci SW vendori majú chyby (vrátane samotného Google) a aj ich budú mať (čím väčší softvér, tým viac chýb). Problém je, že Microsoft to nestihol opraviť v štadnardnej lehote, ktorá sa uplatňuje rovnako aj na iných SW vendorov. Áno, zverejnením chyby síce možno trochu utrpí bezpečnosť, lenže de facto hackeri a tajné služby už túto chybu pravdepodobne poznajú, využívajú a na black-marketoch sa dajú zohhnať exploity. Ak to zverejnia, len dajú uvedomelejším používateľom šancu na vyššiu obozretnosť. Plus zároveň vidíme, aká je reálna bezpečnosť konkrétnych platforiem. Odpovedať Známka: 10.0 Hodnotiť:

Kam sa stratil Od: čitateľ | Pridané: 21.2.2017 16:48 Vtipný Google? Odpovedať Hodnotiť:

hmmmmm Od: obojzivelnik | Pridané: 21.2.2017 21:04 Vysvetlite mi ako to je spravne - nema to byt ze "Google spravila Microsofte..." ? Odpovedať Hodnotiť:

Pridať komentár