Google mantém pressão e revela mais 3 bugs do Windows

A equipe de segurança do Google revelou três novos bugs do Windows na última sexta-feira, 16/1, mantendo a pressão para a Microsoft corrigir as falhas do sistema em até 90 dias.

No entanto, a Microsoft disse que nenhum desses bugs será solucionado com um update de segurança.

Desde 29/12, o Project Zero, do Google, revelou diversos bugs no Windows antes de a Microsoft conseguir corrigi-los. O Project Zero é composto de vários engenheiros de segurança do Google que investigam não apenas o próprio software da empresa, mas também de outras companhias. Após informar uma falha, o Proect Zero começa uma contagem regressiva de 90 dias, e então publica automaticamente detalhes e amostras do código de ataque caso a vulnerabilidade não tenha sido solucionada.

Uma das primeiras revelações feitas pelo Google fez com que a Microsoft detonasse a empresa de Mountain View por supostamente colocar em risco os usuários do Windows.

O Google retirou as restrições de visualização dos três bugs mais novos na sexta-feira, tornando públicos os detalhes do rastreador de bugs do Project Zero após a Microsoft afirmar que não tinha a intenção de resolver os problemas.

“A Microsoft concluiu que o problema não atende à sua barra de boletim de segurança. Eles afirmam que exigiria muito controle por parte do invasor”, afirma o rastreador de um dos bugs.

O Google informou três bugs para a Microsoft nos dias 27/10, 5/11, e 10/11, e os classificou como falhas de revelação de informação ou possível elevação de vulnerabilidades de privilégios.

Pelo sistema padrão de classificação de ameaças da Microsoft, nenhuma dessas três teria ficado numa classificação acima de “Importante”, a segunda mais importante da lista.

De qualquer, a Microsoft não irá liberar patches para nenhum desses três bugs. “Os casos liberados publicamente não oferecem nenhuma implicação séria de segurança, e não planejamos resolvê-las com updates de segurança”, afirmou um porta-voz da Microsoft.

Fonte: IDG NOW

Read More

Google ignora pedidos da Microsoft e publica 3ª falha do Windows em um mês

O Google ignorou os pedidos da Microsoft por prazos mais flexíveis para a divulgação de vulnerabilidades e liberou detalhes de mais uma falha sem solução do Windows, que deve deixar os usuários expostos pelos próximos 25 dias.

A nova vulnerabilidade, que foi confirmada no Windows 7 e 8.1, pode constituir uma alternativa ao recurso de segurança pela maneira como as aplicações podem criptografar suas memórias para que os dados possam ser trocados entre os processos sendo rodados na sessão com o mesmo logon.

“O problema é que a implementação em CNG.sys não verifica o nível de personificação do token ao capturar a sessão de logon ID (usando SeQueryAuthenticationIdToken) para que um usuário normal possa personificar em nível de identificação e criptografar ou descriptografar os dados para essa sessão de logon”, afirmaram os pesquisadores do Google Project Zero em uma descrição da falha. 

Segundo o Project Zero, a Microsoft foi notificada sobre a vulnerabilidade em 17 de outubro de 2014 e inicialmente planejava liberar uma solução na sua Patch Tuesday de janeiro, que foi liberada há alguns dias. No entanto, o patch precisou ser adiado por problemas de compatibilidade.

Os pesquisadores do Google não ficaram comovidos com isso e mantiveram seu prazo de revelação pública de 90 dias, publicando os detalhes da falha e um exploit de prova de conceito nesta quinta-feira, 15/1.

Agora é esperado que a solução esteja entre os updates de segurança da Microsoft programados o próximo dia 10 de fevereiro, apesar de não existirem garantias que o patch não possa ser adiado mais uma vez.

É claro que a Microsoft tem a opção de liberar um patch fora dessas Patch Tuesdays, mas a empresa raramente faz isso e, quando isso acontece, geralmente é para chamadas falhas críticas que estejam sendo exploradas ativamente por criminosos. 

Essa é a terceira vulnerabilidade que os pesquisadores do Project Zero liberaram publicamente no último mês porque a Microsoft não conseguiu liberar soluções antes do prazo de 90 dias imposto pelo Google.

Fonte: IDG Now!

Read More