Google поделилась в своём блоге подробностями обнаруженной уязвимости в Windows — спустя десять дней после того, как компания сообщила о ней Microsoft. По словам Google, эта критическая уязвимость может прямо сейчас активно использоваться хакерами, поскольку код для данной дыры в системе безопасности операционной системы уже написан.
Уязвимость нулевого дня — публично раскрытая дыра в системе безопасности, о которой раньше никто не знал. Другими словами, компания, занимающаяся созданием ПО, в котором брешь была обнаружена, ещё не выпустила для неё патч. Microsoft также не выпустила никакого обновления и даже не рассказала своим пользователям как бороться с уязвимостью. «Уязвимость в Windows даёт возможность повысить локальные привилегии в ядре Windows, которые могут использоваться для побега из песочницы», — заявила Google.
21 октября Google также рассказала Adobe об уязвимости в Flash, которую разработчики исправили уже 26 октября. Это означает, что пользователи могли просто обновить Flash до последней версии. Что касается других уязвимостей, то Google рекомендует использовать патчи для Windows, которые должна выпускать Microsoft.
Позже редмондский гигант опубликовал официальное заявление касательно дыры безопасности, но всё равно не заявил, когда стоит ждать выхода патча. «Мы верим в скоординированное раскрытие уязвимостей, и сегодняшнее раскрытие Google ставит клиентов в потенциально рискованное положение, — заявил представитель Microsoft. — Windows — единственная платформа, на которой клиенты привержены поиску заявленных проблем безопасности и заблаговременному обновлению затронутых устройств. Мы рекомендуем клиентам использовать для лучшей защиты Windows 10 и браузер Microsoft Edge».
Источник, близкий к компании, также рассказал, что описанный Google эксплойт требует присутствия уязвимости в Flash. Поскольку последняя уязвимость уже была исправлена, дыра безопасности Windows также практически полностью устранена. Тем не менее, Microsoft всё равно придётся выпустить патч для этой дыры, поскольку позже она может быть использована в других атаках.
Источник: