Den 30. desember i fjor offentliggjorde Google detaljene om en sårbarhet som selskapet har funnet i Windows 8.1, allerede før Microsoft har kommet med en sikkerhetsfiks til programvaren.
Sårbarheten finnes i til en funksjon, AhcVerifyAdminContext, som skal hindre at vanlige brukere kan bruke systemkallet NtApphelpCacheControl til mellomlagring av applikasjons-kompatibilitetsdata. Dette skal kun kunne gjøres av administratorer, men funksjonen sjekker ikke dette på riktig måte.
En bruker med normale privilegier – eller skadevare med de samme privilegiene – kan utnytte dette ved å legge inn en oppføring i mellomlageret som inneholder vilkårlig kjørbar kode, som vil kunne bli kjørt med forhøyede privilegier.
Detaljene om sårbarheten, inkludert en fungerende konseptbevis, finnes her. Sårbarheten finnes i alle fall i Windows 8.1, men også eldre utgaver kan være berørt.
Selve sårbarheten er ikke spesielt oppsiktsvekkende, hadde det ikke vært for at den altså ennå ikke har blitt fjernet. Google har altså avslørt detaljer om en sårbarhet som fortsatt ligger åpen og i utgangspunktet ikke kan beskyttes.
Nå er det ikke slik at Googles Project Zero-team fant denne sårbarheten i romjula. Tvert imot er oppføringen datert den 30. september i fjor. Teamet har en fast rutine om å offentliggjøre detaljer om sårbarheter når det har gått 90 dager siden leverandøren av den sårbare programvaren har blitt varslet. Tanken er at totalt hemmelighold av sårbarheter ikke hindrer at ondsinnede i å utnytte sårbarhetene – de kan ha blitt oppdaget av andre for lenge siden.
Dersom leverandøren ikke makter å utgi en sikkerhetsfiks innen rimelig tid – Project Zero-teamet har altså landet på at dette er 90 dager – så må brukerne og tredjepartsleverandører få den informasjonen som er nødvendig for gjøre egne tiltak.
Omdiskutert
Avsløringen har ført til mye debatt, hvorav mange er kritiske til hvordan dette har blitt håndtert av Google, til tross for – eller kanskje nettopp fordi – avsløringen har blitt gjort rutinemessig i henhold til et regelverk som har vært offentlig kjent i lang tid.
En del av de første kommentarene er dog gjort på mangelfullt grunnlag – inkludert en antakelse om at Microsoft ikke har fått vite om sårbarheten før i romjulen.
Først på nyttårsaften kom et medlem av Project Zero-teamet, Ben Hawkes, med en utdypende forklaring om både dette spesielle tilfellet og om ordningen generelt.
Han gjør det i alle fall klart at Microsoft ble varslet om sårbarheten den 30. september. Om den klare tidsfristen før detaljer om sårbarheter avsløres, mener Hawkes at dette vil legge mer press på leverandørene slik at de ikke venter unødvendig lenge med å fjerne sårbarheter.
– Når det er sagt, så kommer vi til å overvåke innvirkningen av denne policyen svært nøye. Vi ønsker at våre avgjørelser skal være datadrevne, og vi ser kontinuerlig etter forbedringer som vil bidra til brukersikkerhet. Vi er glade for å kunne fortelle at de første resultatene har vist at majoriteten av feilene som vi har rapportert om, har blitt rettet før deadline for avsløring – noe som er bevis på at leverandørene jobber hardt, skriver Hawkes.
Ikke i UAC
Langt fra alle ble overbevist av argumentasjonen til Hawkes, men i ettertid gikk debatten mer over i en diskusjon av konseptbeviset. Enkelte mener at brukeren i utgangspunktet må ha administratorrettigheter for å kunne kjøre konseptbeviset ved slike privilegier, og at det dermed bare dreier seg om en omgåelse av UAC-funksjonen (User Account Control) i Windows. Men dette blir senere avvist.
Til ZDNet sier en talsperson for Microsoft at selskapet er i ferd med å utgi en sikkerhetsoppdatering til denne sårbarheten. Sannsynligvis kommer oppdateringen på Microsofts faste dag for utgivelse av sikkerhetsoppdateringer denne måneden, altså den 13. januar.
Les også:
- [23.01.2015] Google avslørte OS X-sårbarheter
- [16.01.2015] Avslørte enda en Windows-sårbarhet