Google публично раскрыла баг в Windows 10 после того, как Microsoft перенесла штатное обновление безопасности ОС

Уже в который раз инженеры Google обнаруживают баг в Windows, а Microsoft не обращает на это внимания. Речь идёт о том самом баге, из-за которого было отложено обновление безопасности Windows 10. 

Скрывается он в Windows GDI (Graphics Device Interface, gdi32.dll) — библиотеке, позволяющей приложениям выводить графику и форматированный текст на экраны и принтеры.

И что же произошло?

Судя по заявке, оставленной командой Project Zero, этот баг изначально был частью целого набора уязвимостей, обнаруженного в марте 2016 года и исправленного в июне, в обновлении безопасности MS16-074.

Матеуш Юрчек (Mateusz Jurczyk), сотрудник Google, обнаруживший некоторые из этих багов, сообщил, что патч MS16-074 был неполным и некоторые уязвимости остались неисправленными.

После тестирования в ноябре исследователь обновил багрепорт, и Microsoft не смогла исправить ошибку за 90 дней — срок, который Google даёт разработчикам для исправления багов до их публичного оглашения.

Это случилось не впервые, верно?

Такой шаг по отношению к Microsoft компания предпринимает уже во второй раз. В ноябре Google публично раскрыла уязвимость в Windows 10, используемую преступной группировкой APT28 (Strontium), за несколько дней до обновления безопасности.

Причиной такого поступка Google назвала то, что она хотела дать пользователям возможность защитить себя самостоятельно, пока Microsoft не выпустила патч.

Исполнительный вице-президент Microsoft Терри Майерсон имел другой взгляд на сложившуюся ситуацию, назвав поступок Google «разочаровывающим», поскольку он лишь увеличил риск атаки.

Так, а как всё было в этот раз?

В этот раз Майерсон уже не сможет оправдаться, поскольку Google раскрыла этот баг 14 февраля, в тот самый день, когда Microsoft должна была выпустить февральское обновление.

Компания перенесла обновления безопасности на следующий месяц, заявив, что «обнаруженный в последний момент недочёт мог повредить некоторым пользователям». Решение Google стало прямым ответом на это действие.

И на кого влияет баг?

На пользователей Internet Explorer и Office Online. По словам Юрчека, уязвимость под номером CVE-2017-0038 позволяет атакующему прочитать содержимое памяти, используя зловредные EMF-файлы. Проблемой является то, что такой файл можно скрыть в других документах.

Матеуш объяснил:

Я предоставил доказательства существования уязвимости, проведя локальную атаку в Internet Explorer и удалённую в Office Online, передав документ формата docx, содержащий специальный EMF-файл.

Опасность атак такого рода зависит от расположения зловредного файла в памяти и содержимого соседних с ним байтов.

Есть ли способ исправить уязвимость?

Нет. Эксперт безопасности Google не предоставил инструкции по самостоятельной защите от этой уязвимости. Пользователи Windows будут находиться под угрозой атак такого рода до 15 марта, когда Microsoft планирует выпустить обновление безопасности.

В тот же день, когда Юрчек раскрыл баг в Windows GDI, другие члены команды Google Project Zero публично сообщили о 16 ошибках безопасности, которые Microsoft исправила в прошлых патчах драйвера Windows NVIDIA. Они не связаны с находкой Юрчека.

Источник: Bleeping Computer