Security Week 45: тандем уязвимостей в Windows 10 и Chrome
На прошлой неделе команда Google Project Zero раскрыла детали уязвимости в Windows 10, которая позволяет атакующему получить системные привилегии на компьютере жертвы.
Удивительно в проблеме то, что она использовалась в реальной атаке в комбинации с другой, также недавно найденной уязвимостью в браузере Google Chrome. Там нашли ошибку в обработчике шрифтов FreeType (уже закрытую), которая позволяла совершить побег из песочницы. Пара уязвимостей, соответственно, делала возможным такой сценарий: жертву заманивают на зараженную веб-страницу, злоумышленники запускают код за пределами защищенной среды браузера, а уязвимость в Windows дает им полный контроль над системой.
Этот сценарий — умозрительный: детали самой атаки Google не раскрывает. При этом команда Project Zero применила правило раскрытия данных об уязвимостях нулевого дня и дала Microsoft всего семь дней на выпуск патча. На момент публикации заплатки для Windows еще нет: его, скорее всего, включат в регулярный набор обновлений, запланированный на 10 ноября. По традиции, произошел довольно едкий обмен мнениями: в Microsoft считают, что безопасники Google могли потерпеть с публикацией, в Project Zero уверены, что стимулируют вендоров быстрее выпускать патч — возможно, даже вне стандартного расписания.
Читать дальше →Источник: Хабрахабр
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями