A Google nyilvánosságra hozta a Windows súlyos sebezhetőségét



A Google Project Zero csapata még tavaly márciusban fedezte fel a Windows Graphics Device Interface (GDI) könyvtárának egyik súlyos sebezhetőségét, amivel a támadók (némi felhasználói közreműködéssel) adatokat olvashatnak ki az áldozat számítógépének memóriájából.

Androbit a Facebookon


A The Hacker News szerint a csapat részéről Mateusz Jurczyk 2016 június 9-én jelentette az akkorára részletesen azonosított problémát a Microsoft felé, ami 15-én már ki is adta a sebezhetőség javítását.

A csapat szerencsére nem hagyta annyiban a dolgot, ugyanis kiderült, hogy a Microsoft javítási kísérlete nem eredményezett sikert, a sérülékenység továbbra is létezett. Jurczyk novemberben ismét felvette a kapcsolatot a redmondi vállalattal, aminek a Google nyilvános elvárása szerint 3 hónapja, pontosabban 90 napja volt az orvoslásra.

A Microsoft viszont nem adta ki a javítást a megszabott határidőn belül, ráadásul a februári patch-kedd is elmaradt ismeretlen okok, egyesek szerint súlyos infrastrukturális üzemzavar miatt, ezért a Google úgy döntött, közzéteszi a sebezhetőség technikai részleteit.

Megjegyzés: A februári patch-kedd elmaradása sem lehet kifejezetten indok a Microsoft számára, ugyanis a vállalat az imént adott ki egy soron kívüli javítást az Adobe Flash Playerhez.

Ez azt jelenti, hogy a Windows Vista Service Pack 2-től kezdve az összes Windows-rendszer súlyos, publikusan ismert sérülékenységben szenved. A szakértők szerint érdemes vigyázni az EMF formátumú képeket tartalmazó dokumentumokkal, ugyanis egy speciálisan módosított képpel kihasználható a rendszer sebezhetősége.