Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Google Публично Раскрыла Баг В Windows 10 После Того, Как Microsoft Перенесла Штатное...

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,064
Баллы
155
Возраст
47
Уже в который раз инженеры Google обнаруживают баг в Windows, а Microsoft не обращает на это внимания. Речь идёт о том самом баге, из-за которого

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

обновление безопасности Windows 10.

Скрывается он в Windows GDI (Graphics Device Interface, gdi32.dll) — библиотеке, позволяющей приложениям выводить графику и форматированный текст на экраны и принтеры.

И что же произошло?


Судя по

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, оставленной командой Project Zero, этот баг изначально был частью

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, обнаруженного в марте 2016 года и исправленного в июне, в обновлении безопасности MS16-074.

Матеуш Юрчек (Mateusz Jurczyk), сотрудник Google, обнаруживший некоторые из этих багов, сообщил, что патч MS16-074 был неполным и некоторые уязвимости остались неисправленными.

После тестирования в ноябре исследователь обновил багрепорт, и Microsoft не смогла исправить ошибку за 90 дней — срок, который Google даёт разработчикам для исправления багов до их публичного оглашения.

Это случилось не впервые, верно?


Такой шаг по отношению к Microsoft компания предпринимает уже во второй раз. В ноябре Google

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

уязвимость в Windows 10, используемую преступной группировкой APT28 (Strontium), за несколько дней до обновления безопасности.

Причиной такого поступка Google назвала то, что она хотела дать пользователям возможность защитить себя самостоятельно, пока Microsoft не выпустила патч.

Исполнительный вице-президент Microsoft Терри Майерсон имел другой взгляд на сложившуюся ситуацию,

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

поступок Google «разочаровывающим», поскольку он лишь увеличил риск атаки.

Так, а как всё было в этот раз?


В этот раз Майерсон уже не сможет оправдаться, поскольку Google раскрыла этот баг 14 февраля, в тот самый день, когда Microsoft должна была выпустить февральское обновление.


Компания

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

обновления безопасности на следующий месяц, заявив, что «обнаруженный в последний момент недочёт мог повредить некоторым пользователям». Решение Google стало прямым ответом на это действие.

И на кого влияет баг?


На пользователей Internet Explorer и Office Online. По словам Юрчека, уязвимость под номером CVE-2017-0038 позволяет атакующему прочитать содержимое памяти, используя зловредные EMF-файлы. Проблемой является то, что такой файл можно скрыть в других документах.

Матеуш объяснил:


Я предоставил доказательства существования уязвимости, проведя локальную атаку в Internet Explorer и удалённую в Office Online, передав документ формата docx, содержащий специальный EMF-файл.

Опасность атак такого рода зависит от расположения зловредного файла в памяти и содержимого соседних с ним байтов.

Есть ли способ исправить уязвимость?


Нет. Эксперт безопасности Google не предоставил инструкции по самостоятельной защите от этой уязвимости. Пользователи Windows будут находиться под угрозой атак такого рода до 15 марта, когда Microsoft планирует выпустить обновление безопасности.

В тот же день, когда Юрчек раскрыл баг в Windows GDI, другие члены команды Google Project Zero

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о 16 ошибках безопасности, которые Microsoft исправила в прошлых патчах драйвера NVIDIA. Они не связаны с находкой Юрчека.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх