Kdaj razkriti ranljivosti

Objavljeno: 2.11.2020 05:00 | Teme: varnost

V projektu Google Project Zero ne iščejo ranljivosti le v Googlovi programski opremi, temveč v vseh popularnih programih. V teh dneh so odkrili ranljivost v Windows, zaradi katere so spet oživele razprave o dolžini embarga. Google je namreč podrobnosti o ranljivosti javnosti priobčil v sedmih dneh, ker se je luknja že aktivno zlorabljala. Microsoft temu oporeka.

Odgovorno razkrivanje ranljivosti se zgodi, ko so te že zakrpane – tedaj je poučno in koristno, da se javnost seznani s tehničnimi podrobnostmi, kaj je šlo narobe. Toda ker bi to lahko pomenilo, da nekateri proizvajalci ne bodo nikoli zakrpali lukenj, se uporablja kombiniran pristop. Google proizvajalca obvesti o luknji in mu da 90 dni časa, da jo odpravi, nato pa jo v vsakem primeru razkrije. To je tak mehak pritisk na pisce programske opreme. V preteklosti si je bil Google zaradi tega že kdaj v laseh z Microsoftom, saj v 90 dneh niso uspeli pripraviti popravka.

Drugačna pa je zgodba, ko je luknja del aktivnih napadov, ki potekajo. V takem primeru Google počaka le sedem dni, potem pa podrobnosti javno razkrije. Utemeljitev je, da nima smisla čakati, saj se ranljivost že tako ali tako zlorablja, zato je poznavanje podrobnosti v interesu vseh. To pot se je zgodilo to v Windows 7 in Windows 10. Google je 22. oktobra odkril luknjo in jo 30. oktobra dokumentiral, popravek pa sledi šele 10. novembra, ko bo Patch Tuesday.

Microsoft trdi, da se luknja ne izkorišča in da bo 10. november povsem zadovoljiv termin. Google ni odstopil od svojega in je 30. oktobra luknjo razkril. Gre za ranljivost v Windows Kernel Cryptography Driver, ki so jo zlorabljali skupaj z luknjo Chromu. Slednja je že zakrpana, obe pa sta omogočali pobeg iz Chromovega peskovnika in poganjanje kode brez ustreznih pravic.

CVE

 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki