Kamakailan lamang ay walang takip ang grupo ng pagbabanta ng Google ng isang hanay ng mga nakakapinsalang kahinaan sa Adobe Flash at kernel ng Microsoft Windows na aktibong ginagamit para sa pag-atake ng malware laban sa browser ng Chrome. Inihayag ng Google sa publiko ang security flaw sa Windows 10 lamang ng araw pagkatapos isiwalat ito sa Microsoft noong Oktubre 21. Sinabi din ng Google na ang kapintasan na ito ay maaaring agresibo na ginagamit ng mga umaatake at coder upang ikompromiso ang seguridad sa mga system ng Windows sa pamamagitan ng pagkakaroon ng access sa antas ng administrator sa mga computer na gumagamit ng isang malware.

Magagawa ito sa pamamagitan ng pagpapahintulot sa mas mababa kaysa sa tapat na mga developer na makatakas mula sa sandbox ng seguridad ng Windows na nagpapatupad lamang ng mga antas ng gumagamit na gumagamit nang hindi nangangailangan ng pag-access sa admin. Ang pagsisid ng isang maliit na mas malalim sa mga teknikalidad, ang win32k.sys, isang legacy na sumusuporta sa Windows system library na pangunahing ginagamit para sa mga graphic, ay inisyu ng isang tukoy na tawag na nagbibigay ng buong pag-access sa kapaligiran ng Windows. Ang Google Chrome ay mayroon nang mekanismo ng pagtatanggol sa lugar para sa ganitong uri ng pagkakamali at hinarangan ang pag-atake na ito sa Windows 10 gamit ang isang pagbabago sa Chromium sandbox na tinatawag na "Win32k lockdown".

Inilarawan ng Google ang partikular na kahinaan ng Windows tulad ng sumusunod:

"Ang kahinaan ng Windows ay isang lokal na pribilehiyo na pagtaas sa Windows kernel na maaaring magamit bilang pagtakas sa sandbox ng seguridad. Maaari itong ma-trigger sa pamamagitan ng win32k.sys system call na NtSetWindowLongPtr () para sa index na GWLP_ID sa isang window hawakan na may GWL_STYLE na nakatakda sa WS_CHILD. Ang mga sandbox ng bloke ng bloke ng win32k.sys ay tumatawag sa paggamit ng Win32k lockdown mitigation sa Windows 10, na pumipigil sa pagsasamantala ng kahinaan ng sandbox na ito."

Kahit na hindi ito ang unang nakatagpo ng Google sa isang Windows security flaw, naglabas sila ng isang pahayag sa publiko hinggil sa isang kahinaan at sa kalaunan ay binasa ang aking Microsoft para sa paglabas ng isang pampublikong tala bago ang opisyal na pitong araw na limitasyon na ipinagkaloob sa mga tagagawa ng software na mag-isyu ng isang pag-aayos.

"Pagkalipas ng 7 araw, bawat aming nai-publish na patakaran para sa aktibong pinagsasamantalahan ang mga kritikal na kahinaan, isinisiwalat namin ngayon ang pagkakaroon ng isang natitirang kritikal na kahinaan sa Windows na kung saan hindi pa pinalaya ang payo o pag-aayos, " isinulat ni Neel Mehta at Billy Leonard ng Threat Analysis ng Google Grupo. "Ang kahinaan na ito ay partikular na seryoso dahil alam namin na ito ay aktibong pinagsasamantalahan."

Ang isang madaling araw na kahinaan ay isang publiko na isiniwalat ng seguridad na kapintasan bago sa mga gumagamit. At ngayon na lumipas ang pitong araw na panahon, wala pa ring magagamit na patch fix patungkol sa bug na ito mula sa Microsoft.

Ang kahinaan ng Flash (isiniwalat din noong Oktubre 21) na ibinahagi ng Google sa Adobe ay na-patch noong Oktubre 26. Kaya ang mga gumagamit ay maaaring mai-update lamang sa pinakabagong bersyon ng Flash. Ngunit pagkatapos ay muli, aktibong itinuro ng Microsoft na para sa isang simpleng web plugin tulad ng Flash, ang paglabas ng isang patch sa loob ng pitong araw ay hindi isang mapaghamong target, ngunit para sa isang kumplikadong OS tulad ng Windows, halos imposible na mag-code, pagsubok, at isyu isang patch para sa isang security flaw sa loob ng isang linggo.

Hindi lamang sa Microsoft ngunit maraming iba pang mga pangunahing entidad ng software na aktibong sumalungat sa kontrobersyal na patakaran na ito ng Google na magbunyag ng mga bahid sa loob ng limitasyon ng isang linggo, ngunit pinanatili ng Google na ito ay mas ligtas para sa pampublikong seguridad na lumikha ng kamalayan tungkol sa isang patuloy na bug na maaaring makompromiso ang kaligtasan ng gumagamit.