Google публикует эксплойт для Windows 8.1, патч Microsoft пропал без вести

Ну, это не то, что мы видим каждый день. С помощью Project Zero Google отслеживает обнаружение уязвимостей в программном обеспечении , и в случае их обнаружения свяжется с поставщиком, ответственным за это. Согласно собственному постановлению Google, если ошибка не исправлена ​​в течение 90 дней с даты ее раскрытия, она автоматически снимается с ограничений, а это означает, что любой может изучить ее детали.

Это как раз то, что произошло с последней уязвимостью повышения привилегий, которая затрагивает как минимум Windows 8.1 (другие ОС заявителем не тестировались). Это локальная ошибка, поэтому она не классифицируется как серьезная, но все же вызывает некоторую озабоченность. В случае эксплуатации любой человек с учетной записью без прав администратора сможет повысить свои привилегии, чтобы получить права администратора, фактически предоставив им полный контроль над машиной и ее службами.

Это вызывает некоторые большие вопросы. Имеет ли Google право не только выявлять ошибку, но и публиковать код, необходимый для ее эксплуатации, до того, как Microsoft исправит ее? Или всю вину следует возложить на Microsoft, у которой было целых три месяца, чтобы решить эту проблему, но она этого не сделала?

Я лично нахожусь в лагере, который винит Microsoft, потому что, хотя это не удаленная уязвимость, она может иметь серьезные последствия — все, что вам нужно, это недовольный сотрудник с хорошим знанием программного обеспечения. Трех месяцев — более чем достаточно, чтобы исправить такую ​​​​ошибку, поэтому трудно понять, почему именно компания так долго сидела над этой ошибкой.

Поскольку ошибка, наконец, обнаружена, Microsoft была вынуждена принять меры. Согласно заявлению, предоставленному Engadget , компания говорит:

Мы работаем над выпуском обновления безопасности для решения проблемы повышения привилегий. Важно отметить, что для потенциального злоумышленника, который потенциально может использовать систему, ему сначала необходимо иметь действительные учетные данные для входа в систему и иметь возможность локального входа на целевую машину. Мы рекомендуем клиентам обновлять антивирусное программное обеспечение, устанавливать все доступные обновления безопасности и включать брандмауэр на своем компьютере.

Это было так сложно, Microsoft?

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал