Google раскрыла информацию об еще одной уязвимости в Windows 10
В рамках проекта Project Zero Google поручает инженерам искать недочеты в программных продуктах, разработанных как самой Google, так и компаниями-конкурентами. Данная уязвимость связана с вызовом удаленной процедуры SvcMoveFileInheritSecurity (RPC), который, ежели он применяется, может привести к произвольному файлу, которому назначен различный дескриптор безопасности, что может привести к увеличению привилегий.
В обновлении Windows 10 Creators Update была презентована технология Arbitrary Code Guard (ACG) для защиты от атак, предполагающих загрузку вредоносного кода в память.
По правилам Google Project Zero, на исправление уязвимостей производителям отводится 90 дней, после этого информация о них располагается в глобальной web-сети.
Идет речь о дыре средней степени опасности, которая может позволить злоумышленникам на перезапись файлов среды выполнения в памяти. Также Microsoft необходимо исправить уязвимость в браузере Edge, информация о которой была размещена некоторое количество дней назад.
Еще раз заметим, что, согласно политике Google, информация об найденных и неисправленных уязвимостях публикуется через 90 дней. По правилам Project Zero, на ее устранение дается строчек в 90 дней.
Например, осенью 2017 г Microsoft критиковала Google за то, что раскрытие информации может угрожать пользователям. В Microsoft признали, что на исправление уязвимости ушло неожиданно большое количество времени и патч появится только в начале весны текущего 2018.
Относительно недавно появилось сообщение от Microsoft о том, что проблема оказалась не менее трудной, чем предполагалось до этого, и высока вероятность, что компания не сможет в срок выпустить патч. Так, например, в 2016-ом данные об ошибке в Windows были размещены в интернете спустя 10 дней после оповещения Microsoft. Отмечается, что к концу осени 2017 Google отправила информацию о 2-х уязвимостях в Windows 10, однако исправлена была только одна. После данного времени создатели публикуют описание проблемы.