Нулевой проект Google обнаруживает уязвимость в Windows 10 с

Команда Google Project Zero посвящена поиску эксплойтов в продуктах компании и разработанных другими фирмами. Google обнаружил несколько ошибок за последние несколько месяцев, особенно в Windows 10 и Microsoft Edge. Теперь обнаружена ошибка средней серьезности в системах Windows 10 S с включенной целостностью кода режима пользователя (UMCI).

В Windows 10 S есть уязвимость, хотя она не особенно серьезна

Windows 10 S - это защищенная операционная система со многими ограничениями, такими как невозможность запуска приложений Win32. Однако команда Google Project Zero обнаружила уязвимость, позволяющую запускать произвольный код в системе с поддержкой UMCI, такой как Device Guard, которая включена по умолчанию в Windows 10 S. Эта уязвимость затрагивает только те системы, в которых включена защита устройств, в основном Windows 10 S, и ее нельзя использовать удаленно, что значительно снижает серьезность проблемы.

Мы рекомендуем прочитать наш пост в Google Project Zero, чтобы обнаружить серьезную проблему безопасности в Windows 10

Google сообщил о проблеме в Microsoft 19 января, но гигант Редмонда не смог исправить ее до апрельского выпуска патча. В результате Microsoft запросила продление на 14 дней, сообщив Google, что решение будет реализовано в мае. Этот срок превысил срок отсрочки, поэтому Google отклонил запрос Microsoft и не предоставил дополнительные 14 дней.

На прошлой неделе Microsoft еще раз запросила продление срока, заявив, что оно будет решено в обновлении Redstone 4 (RS4), но Google отклонил его, заявив, что точной даты обновления нет, и что RS4 не было Я бы посчитал патч широко доступным.

С сегодняшним стандартным 90-дневным крайним сроком Google обнародовал эту уязвимость, которая в первую очередь касается Windows 10 S. Будет интересно посмотреть, будет ли Microsoft вынуждена выпустить исправление перед следующим большим обновлением.

Шрифт Neowin