Главная IT-Vestnik Google нашла умеренную уязвимость в Windows 10 S

Google нашла умеренную уязвимость в Windows 10 S

Проект Zero компании Google занят поиском эксплоитов в собственных программных продуктах и в приложениях других фирм. Члены команды ищут уязвимости в программном обеспечении, сообщают о них разработчикам и дают 90 дней на устранение. Если в течение этого срока обновление не появится, об уязвимости сообщается публично.

Используя такой подход, Google за последние пару месяцев нашла несколько уязвимостей, в том числе в Windows 10 и браузере Microsoft Edge. Теперь Google обнародовала умеренную уязвимость в системах с User Mode Code Integrity (UMCI), в том числе в операционной системе Windows 10 S. Сделала это Google несмотря на то, что Microsoft просила дополнительное время на закрытие уязвимости.

Google нашла умеренную уязвимость в Windows 10 S

На данный момент Windows 10 S считается очень безопасной операционной системой благодаря своим ограничениям, вроде невозможности запускать приложения Win32. Несмотря на это, Google обнаружила уязвимость, которая позволяет выполнять произвольный код в системах с работой UMCI. В Windows 10 S по умолчанию активирован Device Guard.

Также, важно отметить, что уязвимость затрагивает только системы с включенным по умолчанию Device Guard и не может использоваться дистанционно. Злоумышленник должен запустить в системе код, чтобы внести изменения в реестр, что снижает степень угрозы. Google пишет, что уязвимость не настолько опасная, если другие возможные методы обхода защиты, вроде Remote Code Execution (RCE) в Edge, были закрыты.

Время обнародования данной уязвимости выбрано довольно интересное. Google сообщила Microsoft о ней 19 декабря, но компания не успела включить исправление в апрельские обновления. В результате Microsoft затребовала продлить срок на 14 дней, пообещав выпустить обновление в мае.

Google в свою очередь ответила отказом. Там посчитали, что проблема не настолько серьёзная и что есть другие методы обхода защиты, которые Microsoft до сих пор не закрыла. На прошлой неделе Microsoft снова потребовала продлить срок и снова получила отказ. Google утверждает, что поскольку нет конкретной даты появления обновления Windows 10 Redstone 4, вместе с этим неизвестна дата выпуска патча.

Теперь срок в 90 дней завершился и Google опубликовала информацию об уязвимости, которая затрагивает главным образом Windows 10 S. Будет интересно посмотреть, выпустит ли Microsoft исправление отдельно или будет ждать 8 мая.

  поделитесь с друзьями:
Подписаться на почтовую рассылку

Оставить комментарий

Авторизоваться через: 

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить", я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности

Сообщите об ошибке, мы исправим:

Отправить