404 Not Found


nginx
Google não atende apelo da Microsoft e revela nova falha do Windows 8.1 – Cleuber.com.br
Notícias e CuriosidadesSegurança

Google não atende apelo da Microsoft e revela nova falha do Windows 8.1

O relacionamento entre o Google e a Microsoft, que nunca foi dos melhores, pode ter azedado de vez. O Google, mesmo com apelos feitos pela MS, liberou novos detalhes de mais uma falha sem solução do Windows 8.1, a terceira em um mês. A Microsoft não gostou do prazo de 90 dias para revelação pública dado pela equipe de pesquisas em segurança do Google, conhecida como Project Zero.

Os membros da Project Zero costumam encontrar vulnerabilidades em produtos de outras empresas. Esses bugs são informados aos fabricantes e, caso não sejam corrigidos em 90 dias, o Google automaticamente torna público o problema. Em 29/12, a equipe do Google revelou uma vulnerabilidade de elevação de privilégio (EoP) afetando o Windows 8.1, que a Microsoft ainda não tinha corrigido. A vulnerabilidade tinha sido reportada para a Microsoft em 30/9, por isso o prazo de 90 dias já tinha expirado, conforme o Google informou na época.

Neste domingo, 11/1, os pesquisadores da Project Zero revelaram mais uma falha de elevação de privilégio no Windows 8.1, que tinha sido informada para a Microsoft em 13/10. Dessa vez, a revelação pelo Google irritou a Microsoft, que planejava liberar uma solução nesta terça-feira, 13/1. A empresa de Redmond costuma liberar patches de segurança na segunda terça-feira de todo mês, processo que ficou conhecido como Patch Tuesday no mercado.

windows-security

Como o nome sugere, uma falha de elevação de privilégio pode ser explorada para conseguir privilégio de administrador em um sistema a partir de uma conta de baixo privilégio. Não são vulnerabilidades críticas, como as que permitem a execução arbritária de código, mas podem tornar essas falhas ainda mais perigosas e devem ser solucionadas. “Nós pedimos ao Google para trabalhar conosco para proteger os usuários ao segurar os detalhes até terça-feira, 13/1, quando vamos liberar a correção”, afirmou o diretor sênior do Security Response Center da Microsoft, Chris Betz.

“Apesar de termos seguido os passos do timeline anunciado pelo Google para a revelação, a decisão (de liberar a falha) para menos ser algo por princípios e mais por ‘te peguei’, com os consumidores podendo sofrer como resultado disso”. Não adiantou a Microsoft ‘reclamar’.

A nova vulnerabilidade denunciada ontem, dia 15, pode constituir uma alternativa ao recurso de segurança pela maneira como as aplicações podem criptografar suas memórias para que os dados possam ser trocados entre os processos sendo rodados na sessão com o mesmo logon.

“O problema é que a implementação em CNG.sys não verifica o nível de personificação do token ao capturar a sessão de logon ID (usando SeQueryAuthenticationIdToken) para que um usuário normal possa personificar em nível de identificação e criptografar ou descriptografar os dados para essa sessão de logon”, afirmaram os pesquisadores do Google Project Zero em uma descrição da falha.

 

Via: Linux Magazine, IDG NOW

 

Cleuber Silva Hashimoto

Administrador

Gestor de Infraestrutura | Suporte | Cibersegurança.
Graduado em Gestão de TI e Pós-graduado em Segurança da Informação e Computação Forense. Fundador da Agência WebGenese e criador do cleuber.com.br

 cleuber.hashimoto@gmail.com  https://cleuber.com.br

Cleuber Silva Hashimoto

Gestor de Infraestrutura | Suporte | Cibersegurança. Graduado em Gestão de TI e Pós-graduado em Segurança da Informação e Computação Forense. Fundador da Agência WebGenese e criador do cleuber.com.br

Artigos relacionados

Deixe um comentário

Botão Voltar ao topo