Google ha deciso di sfruttare l’occasione della festa di Halloween ormai trascorsa per pubblicare i dettagli di una grave vulnerabilità zero-day presente in Windows.
La vulnerabilità, scoperta dal Google Threat Analysis Group in Flash Player e nel kernel di Windows, è stata segnalata alle due aziende il 21 ottobre. Adobe ha rilasciato il 26 ottobre una nuova versione del plugin (23.0.0.205) che risolve il bug. Come è noto, Chrome viene aggiornato in maniera automatica, per cui gli utenti non devono fare assolutamente nulla per scaricare il plugin dal sito Adobe. La falla individuata nel kernel di Windows invece non è stata ancora corretta.
Nel dettaglio, la vulnerabilità in win32k.sys può essere sfruttata per ottenere privilegi di amministratore, eludere la protezione della sandbox e guadagnare il controllo totale del sistema operativo. Google Chrome blocca le chiamate al file win32k.sys, utilizzando la tecnica Win32k lockdown su Windows 10, ma Windows 8.1 e Windows 7 non sono protetti. Ad ogni modo, il problema rimane se l’utente usa un altro browser.
Riguardo invece il fatto che Google abbia deciso di render note le informazioni in oggetto, Microsoft ha ovviamente espresso il duo disappunto perché non ha avuto il tempo di sviluppare una patch. L’azienda di Mountain View, dal canto suo, ha tuttavia dichiarato che la divulgazione di tali informazioni risulta essere più che lecita visto e considerando che rispetta la timeline per la divulgazione in vigore da oltre trent’anni.
Google è inoltre del parere che sette giorni siano più che sufficienti per sviluppare un mix o comunque per pubblicare un avviso di sicurezza con le possibili soluzioni temporanee. Microsoft ha comunque dichiarato che Google ha messo in pericolo gli utenti e che il fix verrà rilasciato al più presto.
[Photo Credits | Adriano Castelli / Shutterstock.com • Via | VentureBeat]
