Η Google ανακάλυψε ένα κενό ασφαλείας στα Windows χάρη στο Project Zero που τρέχει από το καλοκαίρι του 2014. Το Project Zero είναι ένα πρόγραμμα για να βρίσκει προβλήματα ασφαλείας που σχετίζονται με το Internet ή το λογισμικό και έχει ως στόχο να ενημερώνει τους δημιουργούς για να κλείνουν τις τρύπες που ανακαλύπτει. Για τις ανάγκες του Project Zero, η Google έχει προσλάβει hackers.
Το πρόβλημα που εντόπισε η Google αφορά τον πυρήνα των Windοws, και η εταιρία την περιγράφει ως μια “κρίσιμη ευπάθεια των Windοws” την οποία ήδη εκμεταλλεύονται οι hackers. Συγκεκριμένα:
The Windows vulnerability is a local privilege escalation in the Windοws kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.
Η Google ενημέρωσε άμεσα την Microsoft, ωστόσο η τελευταία εξέφρασε τη δυσαρέσκεια της επειδή η Google δημοσιοποίησε πολύ σύντομα το θέμα (μόλις 10 μέρες μετά την ενημέρωση). Σύμφωνα με τη Microsoft, η Google φέρθηκε άδικα και θέτει σε κίνδυνο του χρήστες επειδή μέχρι να δοθεί το σχετικό update στα Windows, και μέχρι να το εγκαταστήσουν οι χρήστες, οι hackers μπορεί να χρησιμοποιήσουν την ευπάθεια για να “χτυπήσουν” υπολογιστές θυμάτων.
Η Microsoft συνιστά να χρησιμοποιείτε τα Windows 10 και τον Microsft Edge για να έχετε μέγιστη ασφάλεια.