Pracownik Google, a konkretnie członek Projektu Zero kryjący się pod pseudonimem Forshaw, upublicznił groźną lukę w systemie Windows 8.1. Okazuje się, że na zamkniętej liście dyskusyjnej została ona zgłoszona już 30 września więc Microsoft miał sporo czasu aby rozwiązać problem. Niestety tak się nie stało i zgodnie z zasadami Projektu Zero, po 90 dniach błąd w oprogramowaniu został ogłoszony publicznie.
Podejście producenta systemu Windows do kwestii bezpieczeństwa niejednokrotnie było przedmiotem krytyki. Korporacja kolejny raz udowodniła, że nie potrafi na czas załatać swoich produktów. Ujawniona luka wykorzystuje błąd w systemowej funkcji NtApphelpCacheControl, który pozwala na uzyskanie uprawnień administratora w Windows 8.1. Wspomniana funkcja odpowiedzialna jest za przechowywanie danych dotyczących kompatybilności aplikacji.
Informacja o luce i działającym exploicie trafiała do zespołu bezpieczeństwa Microsoftu 30 września 2014 roku. Inicjatywa Google (Projekt Zero) zakłada, że luka nie zostanie upubliczniona przez 90 dni. W tym czasie projektanci oprogramowania powinni uporać się z problemem. Niestety eksperci z Microsoftu nie zdołali zająć się sprawą, a luka została automatycznie ujawniona po określonym terminie.
Kiedy możemy spodziewać się stosownej łatki? Stały cykl aktualizacji produktów Microsoftu zakłada, że kolejne poprawki pojawią się we wtorek, 13 stycznia. Oczywiście nie wiadomo czy do tego czasu uda się załatać błąd.
Źródło: techworm.net
2 thoughts on “Microsoft przez 90 dni nie załatał groźnej luki w Windows 8.1”