В блоге Google Threat Analysis Group опубликована информация об уязвимости нулевого дня Windows 10 до выпуска корректирующего обновления безопасности. Эта уязвимость позволяет злоумышленникам повышать локальные привилегии в ядре Windows и обходить безопасную «песочницу» из-за ошибки в файле win32k.sys. Как правило, обнаружив уязвимость, специалисты ИБ-компаний дают разработчикам на устранение проблемы 90 или хотя бы 60 дней, если пpоблема критическая. Однако на этот раз специалисты Google ждали немногим больше недели, т. к. злоумышленники уже эксплуатируют обнаруженную уязвимость.
В 2013 г. Google приняла новую политику безопасности, которая позволяет компании раскрывать информацию об уязвимостях в чужих продуктах спустя семь дней после передачи сведений о них разработчикам. Некоторые исследователи критикуют подобную политику Google и заявляют, что это слишком короткий срок для надлежащего устранения комплексных уязвимостей.
Из публикации Google невозможно узнать, как именно взламываются компьютеры с использованием этой уязвимости, но сам факт её раскрытия может подвигнуть киберпреступников на поиски дополнительной информации и детальных инструкций по взлому.
Проблема была обнаружена 21 октября, после чего команда Google Threat Analysis Group сразу же уведомила Microsoft. Несмотря на это, Microsoft до сих пор не выпустила исправления, которое устранило бы ошибку в файле win32k.sys. Следует отметить, в тот же день была обнаружена уязвимость и в ПО Adobe, но эта компания выпустила соответствующее обновление для Flash уже 26 октября.
Google уже не первый раз раскрывает информацию об уязвимостях Windows до того, как Microsoft выпускает соответствующие обновления. К примеру, два года назад Google обнародовала подробности о критической проблеме в Windows 8.1.
Microsoft осталась недовольной публикацией Google и в этот раз. Издание VentureBeat цитирует слова представителя редмондской компании: «Сегодняшнее раскрытие уязвимости в блоге Google приводит к потенциальному риску для пользователей. Мы рекомендуем своим клиентам для лучшей защиты использовать Windows 10 и браузер Microsoft Edge».
Тем временем Google посоветовал пользователям установить обновления Windows и Adobe Flash как только они станут доступны. Chrome обновляется автоматически, но для применения апдейта необходимо перезапустить браузер.