Только в этот понедельник мы рассказывали, что специалисты по безопасности Google Project Zero раскрыли серьезную уязвимость в браузере Microsoft Edge, не дожидаясь выпуска заплатки (она должна выйти до 13 марта). И вот спустя несколько дней сотрудники Google в очередной раз продемонстрировали непоколебимость своих принципов, и раскрыли еще одну открытую уязвимость в ПО Microsoft.
Новая уязвимость касается операционной системы Windows 10 и была обнаружена в ноябре 2017 года наряду с еще одной, которую Microsoft устранила в недавнем февральском обновлении безопасности Patch Tuesday. Как и в случае с «дырой» в безопасности браузера Edge, специалисты Google дали Microsoft стандартный 90-дневный срок для устранения проблемы, но программный гигант не успел подготовить соответствующую заплатку. Пока неясно, когда Microsoft планирует выпустить исправление.
Говоря об уязвимости, она относится к классу Elevation of Privilege. Эксплуатация этой уязвимости дает злоумышленнику возможность повысить свои полномочия в системе и заполучить права администратора. Microsoft по своей классификации оценила эту уязвимость как «Значительную», но не «Критическую». То есть, удаленно воспользоваться ею, похоже, не выйдет и риск небольшой, раз Microsoft не торопится с выпуском заплатки. И все же, это не делает выпуск исправления менее важным.
Ранее Microsoft неоднократно критиковала политику Google Project Zero, которая множество раз «подставляла» программного гиганта и его пользователей, раскрывая серьезные уязвимости в продуктах раньше выпуска патчей. Но в Google Project Zero всегда занимали крайне жесткую позицию в отношении вопроса раскрытия найденных уязвимостей, непоколебимо следуя своим принципам.
По имеющейся информации, группа Google Project Zero была сформирована после хакерской атаки, якобы организованной китайским правительством, в 2009 году. Тогда хакерам удалось получить доступ к электронным почтовым ящикам ряда китайских правозащитников, причем для атаки использовалась не устраненная уязвимость в браузере Microsoft Internet Explorer 6.
Источник: The Verge