Google hisset på seg Microsoft i forrige uke da selskapet avslørte detaljene om en Windows-sårbarhet som Microsoft ennå ikke hadde rukket å fjerne. Nå har Google gjort det samme igjen.
Googles Project Zero-gruppe, som jobber med å finne sårbarheter i Googles og andre programvare, har som prinsipp å avsløre detaljene om sårbarhetene dersom det har gått 90 dager eller mer siden leverandøren av programvaren ble varslet om sårbarheten. Google mener at 90 dagers frist gir leverandøren tid nok til å fjerne sårbarheten. Samtidig fører tidsfristen kanskje til at leverandøren prioriterer sikkerhetsfiksingen. Dersom fristen ikke overholdes, frigis detaljene slik at brukerne og tredjeparter kan gjøre egne tiltak.
Microsoft mener derimot at det er skadelig for brukerne dersom detaljer om sårbarheter blir kjent før sikkerhetsfikser er klare, fordi de sårbarhetene da enklere kan utnyttes av ondsinnede.
Den nye avsløringen omhandler en sårbarhet som berører Windows 7 og nyere.
Kryptert minne
Ifølge James Forshaw i Google er sårbarheten knyttet til funksjonen CryptProtectMemory, som blant annet lar applikasjoner kryptere minne i tilknytning til en innloggingsøkt, hvor krypteringsnøkkelen blir generert ved å basere den på en innloggingsøkt-identifikatoren. Da kan det krypterte minnet deles mellom prosesser som kjøres i samme økt.
Det er ifølge Forshaw en svakhet i denne løsningen knyttet til kontrollen av «the impersonation level of the token» når id-en for innloggingsøkten hentes inn. Dette gjør at en vanlig bruker kan utgi seg for å være en annen på Indentification-nivået og kryptere og dekryptere data under den aktuelle innloggingsøkten.
Potensiell fare
Ifølge Forshaw kan dette være et problem dersom en tjeneste er sårbar for et «named pipe planting»-angrep eller lagrer krypterte data i en minneseksjon som kan leses av alle.
Ifølge Forshaw skal Microsoft ha bekreftet at selskapet har reprodusert problemet den 29. oktober, tolv dager etter at selskapet ble varslet. Rett før fristen gikk ut, skal Microsoft ha informert Forshaw om at det var planlagt at en sikkerhetsfiks for denne sårbarheten skulle ha blitt gitt ut nå i januar, men at den var blitt trukket tilbake på grunn av kompatibilitetsproblemer. Det er nå ventet at sikkerhetsfiksen vil bli utgitt i februar.
Leave a Reply