Googles Project Zero har rutinemessig offentliggjort detaljene om en Windows-sårbarhet som fortsatt kan utnyttes, 90 dager etter at Microsoft ble varslet om den.
Egentlig dreier det seg om en enda eldre sårbarhet, som ble oppdaget av Google-ingeniøren Mateusz Jurczyk i mars i fjor, og som Microsoft forsøkte å fjerne i MS16-074-oppdateringen i juni samme år.
Men senere skal Jurczyk ha oppdaget at Microsofts sikkerhetsfiks var utilstrekkelig, noe som førte til at han på nytt varslet Microsoft.
Punktgrafikk
Sårbarheten er knyttet til håndteringen av enhetsuavhengig punktgrafikk (DIB – Device Independent Bitmaps) som er integrert i filer av typen EMF (Enhanced Metafile). Når disse åpnes i applikasjoner som benytter Windows Graphics Device Interface, som ifølge Bleeping Computer leveres av bibliotekfilen gdi32.dll. Sårbarheten gjør det mulig for en angriper å få tilgang til pc-ens systemminne.
I utgangspunktet er ikke EMF-filer så veldig utbredt, og mange vil sikkert kvie seg for å åpne dem dersom de mottas som vedlegg til en epost. Problemet at EMF-filer kan integreres i andre filer, slik som Word-dokumenter.
– Jeg har bekreftet at sårbarheten reproduseres både lokalt i Internet Explorer og via nett i Office Online, via et .docx-dokument, skriver Jurczyk.
Ikke første gang: Microsoft tetter kritisk grafikksårbarhet
Utsatt?
Det er ikke usannsynlig at Microsoft hadde planlagt å komme med en sikkerhetsoppdatering som fjerner også de siste restene av den omtalte sårbarheten, allerede tirsdag i forrige uke. Men som kjent har Microsoft av ukjente årsaker utsatt utgivelsen av februar-oppdateringene til den 14. mars.
Enkelte tror at problemet kan være knyttet til infrastrukturen for Windows Update, framfor at det er et problem med en enkeltoppdatering. Begrunnelsen for dette er at Microsoft ikke kom med noen oppdateringer i forrige uke, heller ikke oppdateringer som selskapet fortsatt skal distribuere separat, slik som til Adobe Flash Player.
Skuffelse
Uavhengig av årsak, er nok Microsoft stadig misfornøyde med at Project Zero offentliggjør detaljer om sårbarheter som Microsoft ikke har rukket å tilby sikkerhetsfikser til. I november i fjor – forrige gang Microsoft brukte mer enn 90 dager på å fjerne en sårbarhet varslet av Project Zero – skrev Windows-sjef Terry Myerson at det var skuffende at Google ikke ventet med å offentliggjøre detaljene til etter at sikkerhetsoppdateringene var blitt utgitt.
Bakgrunnen for dette er nok at de to partene har ulikt syn på hemmeligholdet av sårbarheter. Microsoft mener tilsynelatende at det i utgangspunktet er best å holde detaljer om sårbarhetene hemmelig inntil sikkerhetsfikser foreligger – i alle fall så lenge den ikke allerede blir utnyttet i aktive angrep.
Google, med Project Zero, mener at dersom ikke sårbarheten kan bli fjernet innen rimelig tid – og 90 dager anses som rimelig tid av mange – så bør de berørte få vite om den, slik at de bedre kan beskytte seg mot potensielle angrep.
Også tidligere: Microsoft refser Google