Google pokračuje ve své kontroverzní politice. Zveřejnil totiž informace o chybě nalezené ve Windows v rámci programu Zero dříve, než ji Microsoft stihl opravit. Slabé místo zabezpečení se týká kompilace JIT (just in time) v Edgi. Ta probíhá v samostatném procesu, jenž je rovněž zodpovědný za mapování nativního kódu do obsahového procesu.
Pakliže je obsahový proces kompromitován, lze ho zneužít k útoku, výsledkem čehož je typicky spuštění malwaru. Část problému podle Googlu spočívá v tom, že obsahový proces dokáže relativně úspěšně predikovat, na jakou adresu v paměti proces pro kompilaci JIT tzv. zavolá. Podrobný popis případně hledejte na webu projektu Zero.
Google o objeveném problému informoval Microsoft v listopadu, přičemž před pár dny vypršela 90denní lhůta pro opravu. Výše jsem praxi reklamního giganta nazval kontroverzní, protože 90 dní nemusí být dost času na vyprodukování opravy. Zveřejnění detailů o zranitelném místu ovšem otevírá cestu jejímu zneužití. Firma tak dostává do ohrožení ty, kdo dotčený produkt používají.
Obelstění antivirového skeneru
Druhý objevený problém, o němž se dnes budeme bavit, byl naštěstí opraven v rámci únorového záplatovacího úterý. Ve zkratce lze problém popsat tak, že malware, jehož kód obsahuje nulový znak, může obejít bezpečnostní skenování ve Windows 10, jež provádí Anti-Malware Scan Interface. Tato komponenta slouží jako prostředník, skrze něhož mohou antiviry na žádosti aplikací skenovat soubory.
Podle Bleeping Computeru byla tato komponenta navržena speciálně pro inspekci skriptů vyvolaných v prostředích jako PowerShell, které je obtížné detekovat klasickým antiviry (jež porovnávají kód se vzorky v databázi). AMSI nicméně skenování ukončovalo ve chvíli, kdy narazilo na nulový znak, místo aby pokračovalo v kontrole celého kódu. Toto chování objevil Satoshi Tanda a detailně jej popsal na svém blogu.
