Несколько дней назад компания Google раскрыла информацию об уязвимости в Microsoft Edge (браузер по умолчанию в Windows 10), поскольку Microsoft не смогла своевременно исправить данную проблему безопасности. Сегодня же команда Google Project Zero опубликовала информацию о другой уязвимости, но уже непосредственно в Windows 10, которую Microsoft так не исправила за 90 дней. Отмечается, что в ноябре 2017 Google отправила информацию о двух уязвимостях в Windows 10, но исправлена была только одна.
Неисправленная уязвимость связана с возможностью получения обычными пользователями прав администратора в системе. Компания Microsoft посчитала проблему «важной», но «некритической», поскольку удалённо воспользоваться уязвимостью невозможно. Однако это не означает, что проблемы не нужно исправлять, ведь злоумышленник вполне может получить права администратора, воспользовавшись какой-то другой уязвимостью для удалённого выполнения кода. Такой сценарий маловероятен, но...
На текущий момент нет никакой информации о том, когда компания планирует устранить данную уязвимость в Windows 10. Также Microsoft необходимо исправить уязвимость в браузере Edge, информация о которой была опубликована несколько дней назад.
Ещё раз отметим, что, согласно политике Google, информация об обнаруженных и неисправленных уязвимостях публикуется через 90 дней. При необходимости срок может быть несколько увеличен. Однако, если уязвимость активно используется, то Google может опубликовать информацию гораздо раньше. Так, например, в 2016 году данные об ошибке в Windows были опубликованы в сети спустя 10 дней после оповещения Microsoft.