Google вновь раскрыла подробности о ранее неизвестной уязвимости в Windows

image

Теги: Google, Windows, Microsoft, уязвимость

Компания проигнорировала призыв Microsoft к использованию более гибкой системы раскрытия уязвимостей.

Google в очередной раз опубликовала подробности о брешах в Windows, полностью проигнорировав призывы Microsoft к более гибкой системе раскрытия уязвимостей. Отметим, что в рамках Project Zero исследователи Google, обнаружившие бреши в продуктах, сообщают о них производителям и дают 90 дней на выпуск обновлений. Если по истечении этого срока уязвимости остаются неисправленными, они разглашают подробности о брешах широкой публике.

Эксперты Google сообщили Microsoft об уязвимости в Windows 7 и 8.1 еще 17 октября 2014 года, дав компании 90 дней на выпуск обновлений. Предполагалось, что исправления выйдут 13 января 2015 года в рамках планового выпуска патчей по вторникам, однако релиз был отложен из-за проблем с совместимостью.

Напомним, что 11 января, всего за 2 дня до выхода обновлений, Google публично раскрыла бреши, о которых сообщила Microsoft 13 октября 2014 года. Несмотря на то, что Рэдмонд посчитал подобные действия безответственными и призвал к более гибкому подходу, Google не отступила от своей политики и вновь обнародовала сведения об уязвимости в Windows, не дожидаясь выхода исправлений в феврале.

Брешь возникает в Windows 7 и 8.1 из-за того, что реализация в CNG.sys не проверяет уровень имперсонализации маркера доступа при захвате ID сессии (с использованием SeQueryAuthenticationIdToken). В связи с этим на уровне идентификации обычный пользователь может выдать себя за другого и расшифровать или зашифровать данные этой сессии.

Подробнее ознакомиться с уязвимостью можно по адресу: http://securitylab.ru/vulnerability/469950.php .                    


или введите имя

CAPTCHA
Гость
17-01-2015 02:11:38
C какой стати кто-то должен им помогать прятать их ошибки и поддерживать их имидж. Это бизнес, а не благотворительность. Информация стоит денег, тогда пусть вернут лицензионные и патентные отчисления содранные с гугла. А нет, так "идите, идите, я подаю только по субботам".
0.2013 |
Александр
06-02-2015 13:52:53
За тем чтобы злоумышленники не успели воспользоваться уязвимостями, чтобы не пострадали такие как ты бестолковый.
0 |