O Terry Myerson, εκτελεστικός αντιπρόεδρος της Microsoft για τα Windows και το τμήμα συσκευών, επέκρινε την απόφαση της Google να προβεί σε δημοσιοποίηση μιας κρίσιμης ευπάθειας που εντοπίστηκε στον πυρήνα των Windows, χωρίς να έχει γίνει πρώτα διαθέσιμο αντίστοιχο patch.
«Η Google θέτει τους χρήστες των Windows σε αυξημένο κίνδυνο», αναφέρει χαρακτηριστικά ο Myerson. «Πιστεύουμε ότι η υπεύθυνη συμμετοχή στη βιομηχανία της τεχνολογίας προϋποθέτει την προτεραιοποίηση του πελάτη, και απαιτεί συνεργασία στη γνωστοποίηση των ευπαθειών. Η απόφαση της Google να αποκαλύψει τα εν λόγω σφάλματα προτού κάποιο patch γίνει ευρέως διαθέσιμο και δοκιμαστεί αναλόγως είναι απογοητευτική», προσθέτει.
Η δημοσιοποίηση της ευπάθειας στο κοινό από την Google, έγινε στα πλαίσια της πολιτικής της εταιρείας, η οποία δίνει στις επιχειρήσεις λογισμικού 10 ημέρες για την κυκλοφορία αντίστοιχων patches, όσον αφορά τα κενά ασφαλείας που έχουν επισημανθεί ως κρίσιμα.
Σύμφωνα με τους ερευνητές Neel Mehta και Billy Leonard της Google, η ευπάθεια των Windows με αναγνωριστικό CVE-2016-7855 μπορεί να αξιοποιηθεί για παράκαμψη του sandbox, εκμεταλλευόμενη ένα local privilege escalation bug (ευπάθεια που επιτρέπει τοπική κλιμάκωση προνομίων ή δικαιωμάτων) στον πυρήνα των Windows.
Ο Myerson σε σχετικό post δίνει κάποιες επιπλέον πληροφορίες για την ευπάθεια, αναφέροντας πως αξιοποιείται ενεργά από το hacking group STRONTIUM για τη διεξαγωγή spear-phising εκστρατειών οι οποίες στοχεύουν υπολογιστές ευάλωτους σε δύο κενά ασφάλειας του Adobe Flash.
Το στέλεχος της Microsoft προσθέτει ότι η εκστρατεία εντοπίστηκε από την Ομάδα Ανάλυσης Απειλών της Google, και ότι η εταιρεία εργάζεται τώρα με όλα τα εμπλεκόμενα μέρη, συμπεριλαμβανομένων των Google και Adobe, για την επιδιόρθωση της ευπάθειας και την ενημέρωση των ευάλωτων συστημάτων των Windows. Το patch αναμένεται να γίνει διαθέσιμο την επόμενη εβδομάδα, και συγκεκριμένα στις 8 Νοεμβρίου στα πλαίσια του καθιερωμένου Patch Τuesday.
«Τα Windows είναι η μόνη πλατφόρμα με δέσμευση στον πελάτη όσον αφορά τη διερεύνηση των ζητημάτων ασφάλειας που αποκαλύπτονται και την προληπτική ενημέρωση των ευπαθών συσκευών όσο το δυνατόν συντομότερα», επισημαίνει ο Myerson.
