В позапрошлую пятницу, 21 октября, компания Google сообщила Adobe и Microsoft об уязвимости в операционной системе Windows, которую активно используют злоумышленники. Спустя несколько дней, а именно 26 октября, Adobe выпустила обновление Flash под номером CVE-2016-7855, которым исправила уязвимость со своей стороны, а вот Microsoft никак не отреагировала на ситуацию. В понедельник Google снова опубликовала в своём блоге сообщение о том, что проблема со стороны Microsoft до сих пор не решена, из-за чего пользователи остаются незащищёнными.
"Уязвимость в Windows находится в ядре системы и может быть использована для обхода системы безопасности. Она может быть вызвана с помощью win32k.sys системного вызова NtSetWindowLongPtr() для индекса GWLP_ID с изменением GWL_STYLE на WS_CHILD. Система защиты Chrome блокирует системные вызовы win32k.sys с помощью смягчения блокировки Win32k на Windows 10, что предотвращает использование этой уязвимости", - говорится в сообщении Google.
Специалисты VentureBeat заявили, что эту проблему достаточно устранить во Flash, а вот для закрытия такой уязвимости в целой системе требуется время. Возможно, что сотрудникам Microsoft не хватило 10 дней, чтобы справиться с этой задачей. Представитель Microsoft напомнил, что в 2015 году Google точно так же слишком рано публично заявила об уязвимости. В редмондской компании считают, что Google таким образом обрекает пользователей на ещё большую опасность, так как большее число злоумышленников узнаёт об уязвимости.
"Мы считаем, что раскрытие скоординированной уязвимости, а также сегодняшнее разоблачение Google имеет потенциальный риск для клиентов. Windows является единственной платформой, где клиент получает сообщения о вопросах безопасности и установки обновлений на устройства так быстро, как это возможно. Мы рекомендуем клиентам использовать Windows 10 и браузер Microsoft Edge для лучшей защиты", - заявил представитель Microsoft.
Google имеет свой взгляд на эту ситуацию. Согласно политике компании, она разглашает информацию о найденной уязвимости спустя 7 дней после того, как сообщает об этом разработчику программного обеспечения.