Google के थ्रेट विश्लेषण समूह ने हाल ही में एडोब फ्लैश और माइक्रोसॉफ्ट विंडोज कर्नेल में हानिकारक कमजोरियों के एक समूह को उजागर किया है जो क्रोम ब्राउज़र के खिलाफ मैलवेयर हमलों के लिए सक्रिय रूप से उपयोग किया जा रहा था। Google ने 21 अक्टूबर को Microsoft को इसका खुलासा करने के ठीक 10 दिन बाद विंडोज में सार्वजनिक रूप से सुरक्षा दोष की घोषणा की है। Google ने यह भी बताया कि इस दोष का उपयोग हमलावरों और कोडरों द्वारा किया जा सकता है, जो प्रशासक-स्तरीय पहुंच प्राप्त करके विंडोज सिस्टम में सुरक्षा से समझौता कर सकते हैं। मैलवेयर का उपयोग करने वाले कंप्यूटर।

यह कम से कम ईमानदार डेवलपर्स को विंडोज के सुरक्षा सैंडबॉक्स से बचने की अनुमति देकर प्राप्त किया जा सकता है जो व्यवस्थापक उपयोग की आवश्यकता के बिना केवल उपयोगकर्ता-स्तरीय एप्लिकेशन निष्पादित करता है। तकनीकी रूप से थोड़ी गहराई में, win32k.sys, ग्राफिक्स के लिए मुख्य रूप से उपयोग की जाने वाली एक विरासत समर्थन विंडोज सिस्टम लाइब्रेरी है, जिसे एक विशिष्ट कॉल जारी किया जाता है जो विंडोज वातावरण में पूर्ण पहुंच प्रदान करता है। Google Chrome में पहले से ही इस तरह की खराबी के लिए एक रक्षा तंत्र है और "Win32k लॉकडाउन" नामक क्रोमियम सैंडबॉक्स में एक संशोधन का उपयोग करके विंडोज 10 पर इस हमले को रोकता है।

Google ने इस विशेष विंडोज भेद्यता का वर्णन इस प्रकार किया है:

“विंडोज भेद्यता विंडोज कर्नेल में एक स्थानीय विशेषाधिकार वृद्धि है जिसे सुरक्षा सैंडबॉक्स एस्केप के रूप में उपयोग किया जा सकता है। इसे win32k.sys सिस्टम कॉल NtSetWindowLongPtr () के जरिए इंडेक्स GWLP_ID के लिए एक विंडो हैंडल पर GWL_STYLE के साथ WS_CHILD पर सेट किया जा सकता है। Windows के 10 पर Win32k लॉकडाउन शमन का उपयोग करके Chrome के सैंडबॉक्स को win32k.sys सिस्टम कॉल ब्लॉक करता है, जो इस सैंडबॉक्स के शोषण से बचाव को रोकता है।"

हालाँकि यह विंडोज सुरक्षा दोष के साथ Google की पहली मुठभेड़ नहीं है, उन्होंने एक भेद्यता के बारे में एक सार्वजनिक बयान जारी किया और बाद में मेरे Microsoft को आधिकारिक नोट जारी करने के लिए सात दिन की सीमा से पहले एक सार्वजनिक नोट जारी करने के लिए धराशायी कर दी गई जो कि सॉफ़्टवेयर निर्माताओं को एक फिक्स जारी करने के लिए दी गई है।

"7 दिनों के बाद, सक्रिय रूप से महत्वपूर्ण कमजोरियों के लिए हमारी प्रकाशित नीति के अनुसार, हम आज विंडोज में एक शेष महत्वपूर्ण भेद्यता के अस्तित्व का खुलासा कर रहे हैं, जिसके लिए कोई सलाहकार या फिक्स अभी तक जारी नहीं किया गया है, " Google के थ्रेट विश्लेषण के नील मेहता और बिली लियोनार्ड ने लिखा है समूह। "यह भेद्यता विशेष रूप से गंभीर है क्योंकि हम जानते हैं कि इसका सक्रिय रूप से दोहन किया जा रहा है।"

शून्य-दिन की भेद्यता उपयोगकर्ताओं के लिए सार्वजनिक रूप से प्रकट सुरक्षा दोष है। और अब जब सात दिन की समय अवधि बीत चुकी है, तो अभी भी Microsoft से इस बग के बारे में कोई पैच फिक्स उपलब्ध नहीं है।

फ्लैश भेद्यता (21 अक्टूबर को भी खुलासा) जिसे Google ने एडोब के साथ साझा किया था 26 अक्टूबर को पैच किया गया था। इसलिए उपयोगकर्ता बस फ्लैश के नवीनतम संस्करण में अपडेट कर सकते हैं। लेकिन फिर, माइक्रोसॉफ्ट ने सक्रिय रूप से बताया है कि फ्लैश जैसे एक साधारण वेब प्लगइन के लिए, सात दिनों के भीतर एक पैच जारी करना एक चुनौतीपूर्ण लक्ष्य नहीं है, लेकिन विंडोज जैसे जटिल ओएस के लिए, कोड, परीक्षण और समस्या के लिए लगभग असंभव है। एक सप्ताह के भीतर सुरक्षा दोष के लिए एक पैच।

न केवल माइक्रोसॉफ्ट बल्कि कई अन्य प्रमुख सॉफ्टवेयर संस्थाओं ने एक हफ्ते की सीमा के भीतर खामियों का खुलासा करने के लिए Google की इस विवादास्पद नीति का सक्रिय रूप से विरोध किया है, लेकिन Google ने यह सुनिश्चित किया है कि सार्वजनिक सुरक्षा के लिए एक सुरक्षित बग के बारे में जागरूकता पैदा करना सुरक्षित है जो उपयोगकर्ता सुरक्षा से समझौता कर सकता है।