Специалисты Project Zero нашли опасную уязвимость в Windows 10

Команда Project Zero корпорации Google регулярно находит различные уязвимости в продуктах компании Microsoft. Сперва она сообщает о найденной уязвимости разработчику и ждет исправления 90 дней, если его не следует, то информация об уязвимости публикуется в открытый доступ.

Microsoft регулярно пропускает сроки исправления и потом обижается на Google из-за того, что те ставят публикацией под угрозу миллионы пользователей по всему миру. Хотя, скорее это Microsoft виновата, что иногда она просто "наплевательски" реагирует на серьезные проблемы в безопасности своих продуктов.

Вот и сейчас компания не исправила за 90 дней уязвимость в Windows 10 1709, которая позволяет повышать привилегии в системе. Делается это через удаленный вызов процедуры SvcMoveFileInheritSecurity (RPC) к произвольному файлу с произвольным дескриптором безопасности.

В описании найденной проблемы исследователь безопасности из Google сообщил, что проблема присутствует только в Windows 10, но не в более ранних версиях. Также, исследователь рассказал, что Microsoft принципиально считает эту проблему "важной", но не "критической", потому что это угроза "повышения привилегий" для использования которой необходимо уже иметь пользовательские права.