Патч еще не доступен, но с Microsoft уже связались

Экспертам по безопасности Google удалось обнаружить другую незащищенную уязвимость в операционной системе Windows от Microsoft, и на этот раз он является чем-то по-настоящему опасным.

Исследователи "Project Zero" Tavis Ormandy И Natalie Silvanovich объявили в выходные дни, что они натолкнулись на то, что они назвали «худшим» RCE в Windows, очевидно без предоставления каких - либо других особенностей из - за очевидных рисков.

«Я думаю, что @natashenka, и я только что обнаружили худший баг Windows, удаленный запуск кода Exec в недавней памяти. Это безумие и крайне плохо. Отчет так же скоро будет готов», сказал Tavis Ormandy. Атака работает против установки по умолчанию, такого не должно быть в той же локальной сети, и это wormable», продолжил он.

Microsoft до сих пор не ответила на эти требования, но компании были предоставлена отсрочка в 90-дневный период для разработки патча и устранения уязвимости в Windows. Если все же патч не будет выпущен в течение следующих 3-х месяцев, исследователи вынуждены будут опубликовать подробности изъяна в Интернете, в соответствии с правилами программы Google Project Zero.

Google обнаруживает недостатки в программном обеспечении Microsoft

Это не первая уязвимость, которую исследователи безопасности компании Google обнаружили в продуктах Microsoft, и, совсем недавно, компания стала объектом публичного раскрытия информации после того, как он не в состоянии была обеспечить патч в течение 90 дней после получения уведомления.

Самый последний случай произошел в феврале, когда исследователи Google раскрыл подробности уязвимости, влияющей на браузеры от Microsoft. Программный гигант выпустил исправление как часть следующего патча в рамках цикла "Patch по вторникам", но компания не приняла критику Google, и то что последняя сделала доступными все детали для общественности не одобрила. В свою очередь Редмонд объяснил, что такое решение подвергает миллионы пользователей Windows огромному риску.

Есть небольшой шанс что исправление уже доступно, если первое уведомление было представлено в конце прошлой недели. Это означает, что без патча вне очереди, пользователи Microsoft смогут получить только исправление для данной уязвимости в июне, так что они будут беззащитными в течение двух недель как минимум.