క్రోమ్ బ్రౌజర్‌కు వ్యతిరేకంగా మాల్వేర్ దాడుల కోసం చురుకుగా ఉపయోగించబడుతున్న అడోబ్ ఫ్లాష్ మరియు మైక్రోసాఫ్ట్ విండోస్ కెర్నల్‌లోని హానికరమైన హానిల సమూహాన్ని గూగుల్ యొక్క బెదిరింపు విశ్లేషణ సమూహం ఇటీవల కనుగొంది. అక్టోబర్ 21 న మైక్రోసాఫ్ట్కు వెల్లడించిన 10 రోజుల తరువాత విండోస్లో భద్రతా లోపాన్ని గూగుల్ బహిరంగంగా ప్రకటించింది. విండోస్ సిస్టమ్స్లో భద్రతను రాజీ చేయడానికి దాడి చేసేవారు మరియు కోడర్లు ఈ లోపాన్ని దూకుడుగా ఉపయోగించుకోవచ్చని గూగుల్ సూచించింది. మాల్వేర్ ఉపయోగించే కంప్యూటర్లు.

నిర్వాహక ప్రాప్యత అవసరం లేకుండా వినియోగదారు-స్థాయి అనువర్తనాలను మాత్రమే అమలు చేసే విండోస్ భద్రతా శాండ్‌బాక్స్ నుండి నిజాయితీ గల డెవలపర్‌ల కంటే తక్కువ మందిని తప్పించుకోవడం ద్వారా దీనిని సాధించవచ్చు. సాంకేతికతలలో కొంచెం లోతుగా డైవింగ్, ప్రధానంగా గ్రాఫిక్స్ కోసం ఉపయోగించే విండోస్ సిస్టమ్ లైబ్రరీకి మద్దతు ఇచ్చే win32k.sys, విండోస్ పర్యావరణానికి పూర్తి ప్రాప్తిని ఇచ్చే నిర్దిష్ట కాల్ జారీ చేయబడుతుంది. గూగుల్ క్రోమ్ ఇప్పటికే ఈ రకమైన లోపానికి రక్షణ యంత్రాంగాన్ని కలిగి ఉంది మరియు విండోస్ 10 పై ఈ దాడిని "విన్ 32 కె లాక్డౌన్" అని పిలువబడే క్రోమియం శాండ్‌బాక్స్‌కు సవరణను ఉపయోగించి నిరోధించింది.

గూగుల్ ఈ ప్రత్యేకమైన విండోస్ దుర్బలత్వాన్ని ఈ క్రింది విధంగా వివరించింది:

"విండోస్ దుర్బలత్వం అనేది విండోస్ కెర్నల్‌లో స్థానిక హక్కుల పెరుగుదల, దీనిని భద్రతా శాండ్‌బాక్స్ ఎస్కేప్‌గా ఉపయోగించవచ్చు. WW_CHILD కు సెట్ చేయబడిన GWL_STYLE తో విండో హ్యాండిల్‌పై GWLP_ID సూచిక కోసం win32k.sys సిస్టమ్ కాల్ NtSetWindowLongPtr () ద్వారా దీన్ని ప్రారంభించవచ్చు. విండోస్ 10 లో Win32k లాక్డౌన్ ఉపశమనాన్ని ఉపయోగించి Chrome యొక్క శాండ్‌బాక్స్ win32k.sys సిస్టమ్ కాల్‌లను బ్లాక్ చేస్తుంది, ఇది ఈ శాండ్‌బాక్స్ తప్పించుకునే దుర్బలత్వాన్ని దోచుకోవడాన్ని నిరోధిస్తుంది. ”

ఇది విండోస్ భద్రతా లోపంతో గూగుల్ యొక్క మొట్టమొదటి ఎన్‌కౌంటర్ కానప్పటికీ, వారు దుర్బలత్వానికి సంబంధించి బహిరంగ ప్రకటనను విడుదల చేశారు మరియు తరువాత సాఫ్ట్‌వేర్ తయారీదారులకు పరిష్కారాన్ని జారీ చేయడానికి అధికారిక ఏడు రోజుల పరిమితికి ముందు పబ్లిక్ నోట్‌ను విడుదల చేసినందుకు నా మైక్రోసాఫ్ట్‌ను తొలగించారు.

"7 రోజుల తరువాత, చురుకుగా దోపిడీకి గురైన క్లిష్టమైన దుర్బలత్వాల కోసం మా ప్రచురించిన విధానం ప్రకారం, విండోస్‌లో మిగిలి ఉన్న క్లిష్టమైన దుర్బలత్వం ఉనికిని మేము ఈ రోజు బహిర్గతం చేస్తున్నాము, దీని కోసం ఇంకా సలహా లేదా పరిష్కారాలు విడుదల చేయబడలేదు" అని గూగుల్ యొక్క బెదిరింపు విశ్లేషణకు చెందిన నీల్ మెహతా మరియు బిల్లీ లియోనార్డ్ రాశారు. సమూహం. ”ఈ దుర్బలత్వం ముఖ్యంగా తీవ్రమైనది ఎందుకంటే ఇది చురుకుగా దోపిడీకి గురవుతోందని మాకు తెలుసు.”

సున్నా-రోజు దుర్బలత్వం అనేది బహిరంగంగా బహిర్గతం చేయబడిన భద్రతా లోపం వినియోగదారులకు కొత్తది. ఇప్పుడు ఏడు రోజుల కాల వ్యవధి గడిచినప్పటికీ, మైక్రోసాఫ్ట్ నుండి ఈ బగ్‌కు సంబంధించి ఇంకా ప్యాచ్ పరిష్కారాలు అందుబాటులో లేవు.

గూగుల్ అడోబ్‌తో పంచుకున్న ఫ్లాష్ దుర్బలత్వం (అక్టోబర్ 21 న కూడా బహిర్గతం చేయబడింది) అక్టోబర్ 26 న ప్యాచ్ చేయబడింది. కాబట్టి వినియోగదారులు ఫ్లాష్ యొక్క తాజా వెర్షన్‌కు అప్‌డేట్ చేయవచ్చు. ఫ్లాష్ వంటి సాధారణ వెబ్ ప్లగ్ఇన్ కోసం, ఏడు రోజుల్లో ప్యాచ్ జారీ చేయడం సవాలు లక్ష్యం కాదని మైక్రోసాఫ్ట్ చురుకుగా ఎత్తి చూపింది, అయితే విండోస్ వంటి సంక్లిష్టమైన OS కోసం, కోడ్, పరీక్ష మరియు ఇష్యూ చేయడం దాదాపు అసాధ్యం ఒక వారంలో భద్రతా లోపం కోసం ఒక పాచ్.

మైక్రోసాఫ్ట్ మాత్రమే కాదు, అనేక ఇతర ప్రధాన సాఫ్ట్‌వేర్ సంస్థలు ఒక వారం పరిమితిలో లోపాలను బహిర్గతం చేసే గూగుల్ యొక్క ఈ వివాదాస్పద విధానాన్ని చురుకుగా వ్యతిరేకించాయి, అయితే వినియోగదారు భద్రతకు రాజీ పడే నిరంతర బగ్ గురించి అవగాహన కల్పించడం ప్రజా భద్రతకు సురక్షితం అని గూగుల్ పేర్కొంది.