+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Windows 7 (/windows-7-4-f)
+--- Dział: Newsy i aktualności o Windows 7 (/newsy-i-aktualnosci-o-windows-7-6-f)
+---- Dział: Aktualności i wydarzenia branży IT (/aktualnosci-i-wydarzenia-branzy-it-52-f)
+---- Wątek: News Google ujawnia kolejną niezałataną lukę w Windows (/google-ujawnia-kolejna-niezalatana-luke-w-windows-43525-t)
Google ujawnia kolejną niezałataną lukę w Windows - Portator - 17.01.2015 06:05
Pod koniec grudnia jeden z badaczy Google upublicznił szczegółowe dane o niezałatanej luce bezpieczeństwa w systemach Windows, przez co aż do styczniowego Patch Tuesday wszyscy użytkownicy 'Okienek' byli potencjalnie narażeni na ataki. Dziś okazuje się, że Google Security Research podało do wiadomości publicznej dane o kolejnej podatności.
Luka ta została oznaczona przez Google jako "Impersonation Check Bypass With CryptProtectMemory and CRYPTPROTECTMEMORY_SAME_LOGON flag" i dotyczyć ma systemów Windows 7 i 8.1, zarówno w wydaniach 32-, jak i 64-bitowych. Jak wynika z materiałów Google, "CryptProtectMemory pozwala aplikacji na zaszyfrowanie pamięci w jednym z trzech scenariuszy: w procesie, sesji logowania oraz komputerze". Klucz szyfrujący jest generowany na podstawie identyfikatora sesji. Exploit może być wykorzystany do przechwycenia danych z aplikacji oraz procesów uruchomionych podczas trwania sesji. Podobnie jak w przypadku ostatniego wycieku, Google zamieściło plik, dzięki któremu możliwe jest wykorzystanie wspomnianej podatności, wraz z instrukcją jej wykorzystania.
O niezałatanej luce Microsoft miał dowiedzieć się pod koniec października. Firma potwierdziła, że jest świadoma problemu i zamierza wypuścić odpowiednią łatkę. Ta z kolei miała zostać dołączona do styczniowego Patch Tuesday, jednak w ostatniej chwili wystąpiły problemy z jej kompatybilnością. Ostatecznie aktualizacja bezpieczeństwa ma dołączyć do następnego zestawu aktualizacji, a więc do 10 lutego użytkownicy Windows 7 i 8.1 pozostaną narażeni na ataki. Podobno Google zdecydowało się upublicznić szczegóły podatności dlatego, że Microsoft zwlekał z wypuszczeniem łatki. Historia jest więc podobna do tej z przełomu grudnia i stycznia. Niewykluczone, że Google uraczy nas jeszcze podobnymi 'rewelacjami' w przyszłości...
Sytuacja może wydawać się nieco kuriozalna. Google nie tylko nie zamierza tworzyć aplikacji dedykowanych użytkownikom Windows czy (w szczególności) Windows Phone, ale też regularnie wytyka firmie Microsoft niedociągnięcia w sferze bezpieczeństwa. Złośliwi powiedzą, że Google próbuje przez to odwrócić uwagę od swoich problemów z Androidem, którego luki znane są od dłuższego czasu, a firmie niespieszno z ich naprawą. Microsoft nie pozostaje też dłużny i oskarża konkurenta o masowe 'zbiory' danych użytkowników i fatalną politykę prywatności.
Luka ta została oznaczona przez Google jako "Impersonation Check Bypass With CryptProtectMemory and CRYPTPROTECTMEMORY_SAME_LOGON flag" i dotyczyć ma systemów Windows 7 i 8.1, zarówno w wydaniach 32-, jak i 64-bitowych. Jak wynika z materiałów Google, "CryptProtectMemory pozwala aplikacji na zaszyfrowanie pamięci w jednym z trzech scenariuszy: w procesie, sesji logowania oraz komputerze". Klucz szyfrujący jest generowany na podstawie identyfikatora sesji. Exploit może być wykorzystany do przechwycenia danych z aplikacji oraz procesów uruchomionych podczas trwania sesji. Podobnie jak w przypadku ostatniego wycieku, Google zamieściło plik, dzięki któremu możliwe jest wykorzystanie wspomnianej podatności, wraz z instrukcją jej wykorzystania.
O niezałatanej luce Microsoft miał dowiedzieć się pod koniec października. Firma potwierdziła, że jest świadoma problemu i zamierza wypuścić odpowiednią łatkę. Ta z kolei miała zostać dołączona do styczniowego Patch Tuesday, jednak w ostatniej chwili wystąpiły problemy z jej kompatybilnością. Ostatecznie aktualizacja bezpieczeństwa ma dołączyć do następnego zestawu aktualizacji, a więc do 10 lutego użytkownicy Windows 7 i 8.1 pozostaną narażeni na ataki. Podobno Google zdecydowało się upublicznić szczegóły podatności dlatego, że Microsoft zwlekał z wypuszczeniem łatki. Historia jest więc podobna do tej z przełomu grudnia i stycznia. Niewykluczone, że Google uraczy nas jeszcze podobnymi 'rewelacjami' w przyszłości...
Sytuacja może wydawać się nieco kuriozalna. Google nie tylko nie zamierza tworzyć aplikacji dedykowanych użytkownikom Windows czy (w szczególności) Windows Phone, ale też regularnie wytyka firmie Microsoft niedociągnięcia w sferze bezpieczeństwa. Złośliwi powiedzą, że Google próbuje przez to odwrócić uwagę od swoich problemów z Androidem, którego luki znane są od dłuższego czasu, a firmie niespieszno z ich naprawą. Microsoft nie pozostaje też dłużny i oskarża konkurenta o masowe 'zbiory' danych użytkowników i fatalną politykę prywatności.
![[Obrazek: g_-_550x412_-_s_60392x20150116115606_0.png]](http://gallery.dpcdn.pl/imgc/News/60392/g_-_550x412_-_s_60392x20150116115606_0.png)
Źródło: neowin.net, za: centrum XP.pl