גוגל חשפה פרצה קריטית בווינדוס ומיקרוסופט זועמת על כך
בעולם הסייבר נהוג לאפשר למפתחים לחסום את הפרצה לפני חשיפתה לציבור. לטענת מיקרוסופט מדובר בחשיפה מיותרת שנובעת מרצון להעביר את המשתמשים לשימוש בכרום
צוות ניתוח האיומים של גוגל חשף אמש (ב') בבלוג שלו פרצה קריטית בווינדוס. החשיפה הגיעה רק עשרה ימים לאחר שגוגל העבירה את פרטי הפרצה למיקרוסופט. בעולם הסייבר מקובל שחשיפה של פרצה שמועברת לתיקון לידי המפתחים אינה נחשפת מיד לציבור ונהוג לאפשר לפחות חודשיים לטובת חסימתה.
- האם מיקרוסופט פתרה את חידת המציאות המדומה?
- מיקרוסופט הכריזה על מכשיר חדש בסדרת סרפס ודגמים חדשים של הולולנס
- מיקרוסופט מכה את התחזיות: הרוויחה ברבעון השלישי 76 סנט למניה - מעל הצפי
גוגל הודיעה כבר לפני שלוש שנים שהיא תרשה לעצמה לחשוף פרצות שלהערכתה הן קריטיות גם לאחר תקופת חסד של שבעה ימים, אבל זו הפעם הראשונה שהיא אכן מיישמת את המדיניות הזו. גוגל הגנה על החלטת החשיפה בטענה שמדובר בפרצה שהאקרים משתמשים בה בימים אלה ממש.
אבל לטענת מיקרוסופט מדובר בחשיפה מיותרת של המשתמשים. החברה גם רמזה שהסיבה האמיתית לחשיפה היא להעביר את משתמשי ווינדוס לשימוש בכרום. בתגובתה מסרה מיקרוסופט ש"אנו ממליצים ללקוחות להשתמש בווינדוס 10 ובדפדפן אדג' על מנת ליהנות מההגנה היעילה ביותר".
גוגל עצמה פרסמה את הפרצה מיד לאחר שעדכנה את דפדפן כרום - ולא חיכתה כאמור לתיקון של מיקרוסופט. הפרצה עצמה לא פשוטה לניצול על ידי האקרים והיא מתבססת (איך לא) על פרצה באדובי פלאש, שבינתיים נחסמה גם היא. עם זאת, גוגל נמנעה מלהסביר כיצד ניתן לנצל את הפרצה והשאירה את תיאורה ב-CVE מעורפל ביותר.
הפרצה מאפשרת להאקרים להתחמק מהגנות ה-Sandbox שמוטמעות בווינדוס והיא משתמשת בבאג שנמצא במערכת win32k. מגוגל הומלץ לעדכן את פלאש לגרסה האחרונה באופן ידני ולהתקין את העדכונים האחרונים של ווינדוס ברגע שאלה יהיו זמינים להתקנה.