Похоже, что пользователи Windows снова подвергаются атакам, так как разработчик Google Project Zero опубликовал незавершенную уязвимость в операционной системе Microsoft.
Член команды Google Zero Mateusz Jurczyk обнаружил уязвимость в gdi32.dll, которая позволяет злоумышленникам взломать системы Windows, и, согласно его блогу, эта ошибка была впервые сообщена Microsoft в марте в 2016.
Microsoft признала уязвимость и попыталась ее исправить с помощью обновления MS16-074, выпущенного в июне 2016, но, как говорит Юрчик, компании удалось устранить только часть проблемы.
Jurczyk уведомил Microsoft еще раз на 16 2016 в ноябре, но компания не выпустила новый патч. Так, согласно политике раскрытия уязвимости в Google Project Zero, исследователь обнаружил пробел в безопасности после 90 дней.
Это может звучать примерно так, но, похоже, это лучший способ оказать давление на любую компанию, которая больше заинтересована в безопасности конечного пользователя.
Microsoft еще не прокомментировала это новое раскрытие. Допустим, следующее запланированное обновление состоится в марте 14, и это Патч вторника этого месяца не выйдет, Это означает, что пользователи Windows будут оставаться уязвимыми для атак, по крайней мере, до следующего месяца.
Кроме того, если злонамеренный пользователь хочет использовать эту уязвимость, он или она должен создать специальный файл EMF. Само собой разумеется, что вы должны следить за любыми файлами, которые приходят из неизвестных источников.
Это не первый раз, когда Google публикует неустановленные уязвимости безопасности. Последний раз это было в ноябре 2016 года, что, конечно, не понравилось Microsoft, которая раскритиковала Google за разоблачение, заявив, что оно подвергает всех пользователей Windows «повышенному риску».