Команда Google Project Zero занимается поиском уязвимостей как в продуктах компании Google, так и в продуктах, разрабатываемых другими компаниями. Информация об обнаруженных недостатках передаётся разработчикам, у которых есть 90 дней для устранения проблемы. Если исправление не выпускается за указанный срок, то информация об уязвимости публикуется в открытом доступе. В особых случаях, если ошибку сложно исправить, команда предоставляет разработчикам дополнительное время на решение.
Согласно этим правилам, компания Google за последние месяцы раскрыла информацию о нескольких уязвимостях, в том числе в Windows 10 и Microsoft Edge. Теперь же команда исследователей опубликовала сведения об обнаруженной бреши в безопасности на системах с включённым режимом UMCI. В качестве примера использовалась операционная система Windows 10 S (там этот режим включён по умолчанию). Стоит отметить, что Microsoft неоднократно просила повременить с публикацией информации об уязвимости, однако Google Project Zero всё равно раскрыл информацию общественности.
Windows 10 S — безопасная операционная система Microsoft, в которой есть множество ограничений, включая невозможность запуска Win32-приложений. Но команда Google Project Zero обнаружила недостаток, который позволяет выполнять произвольный код на системах с включённым режимом UMCI, например, Device Guard (включён по умолчанию в Windows 10 S).
Важно отметить, что уязвимость присутствует только на системах с включённым Device Guard и её нельзя использовать удалённо. Чтобы злоумышленник смог редактировать записи реестра, на атакуемом устройстве уже должен быть запущен вредоносный код. Исследователи Google признают, что проблема не является серьёзной, если исправлены другие возможные способы обхода, например, удалённое выполнение кода в Edge.
Отмечается, что компания Google оповестила Microsoft об уязвимости ещё 19 января, однако в апрельских накопительных обновлениях проблема устранена не была. Microsoft попросила у Google дополнительные 14 дней, пообещав выпустить исправление вместе с майскими обновлениями для операционных систем. Google отклонила этот запрос и опубликовала информацию спустя 90 дней после отправки сведений в Microsoft.