Kifecsegte a Windows hibáját a Google

​A Google nyilvánosságra hozta annak a Windows-os sérülékenységnek a részleteit, amely jelenleg még javításra vár.
 

Mateusz Jurczyk, a Google Project Zero csapatának egyik mérnöke 2016 márciusában több biztonsági rést fedezett fel a Windows GDI-összetevőjében (gdi32.dll). Akkor a rendellenességeket jelezte a Microsoftnak, amely 2016 júniusában adta ki a hibajavításokat az MS16-074-es közleményének keretében. Majd a szakember ismét szemügyre vette a problémás komponenst, és úgy találta, hogy a frissítéssel nem sikerült minden sérülékenységet orvosolniuk a fejlesztőknek. Ezért tavaly novemberben ismét egy jelentést küldött a Microsoftnak a továbbra is fennálló kockázatokról.
 
Mivel a novemberi hibabejelentéshez kapcsolódóan - a megadott határidőn belül - nem vált elérhetővé a frissítés, ezért a Google úgy határozott, hogy nem vár tovább, és nyilvánosságra hozza a technikai részleteket. Mindezt a Project Zero szabályzatára hivatkozva tette meg, amely 90 napot ad a gyártóknak arra, hogy a Google által feltárt sérülékenységeket megnyugtató módon orvosolják, és a felhasználók számára elérhetővé tegyék a szüksége patch-eket. A Microsoft ebből a 90 napból csúszott ki.
 
Könnyen elképzelhető, hogy a GDI-frissítése a februári hibajavító keddre elkészült, csakhogy az e havi patch-ek kiadását elhalasztotta a Microsoft. Így jelenleg az a helyzet, hogy a biztonsági rés leírása már elérhető az interneten, sőt a kihasználásához szükséges kódok is megjelentek. Mindezt pedig minden bizonnyal a kiberbűnözés sem fogja figyelmen kívül hagyni.
 
A védekezés szempontjából egyelőre az a legfontosabb, hogy az EMF-tartalmakkal rendelkező dokumentumokkal, weboldalakkal kell a leginkább óvatosnak lenni. Jurczyk a szóban forgó biztonsági rést az Internet Explorer, illetve az Office Online esetében is ki tudta használni. Az utóbbi esetben egy EMF-formátumú objektumot tartalmazó (docx) dokumentum segítségével igazolta sebezhetőség létezését.