Наверх
Меню
Новости
Статьи
twitter
Новости Software
19 января 2015
2334
  Google вновь раскрыла подробности о ранее неизвестной уязвимости в Windows  
 
Google вновь раскрыла подробности о ранее неизвестной уязвимости в Windows
Компания проигнорировала призыв Microsoft к использованию более гибкой системы раскрытия уязвимостей. Google в очередной раз опубликовала подробности о брешах в Windows, полностью проигнорировав призывы Microsoft к более гибкой системе раскрытия уязвимостей. Отметим, что в рамках Project Zero исследователи Google, обнаружившие бреши в продуктах, сообщают о них производителям и дают 90 дней на выпуск обновлений. Если по истечении этого срока уязвимости остаются неисправленными, они разглашают подробности о брешах широкой публике.

Эксперты Google сообщили Microsoft об уязвимости в Windows 7 и 8.1 еще 17 октября 2014 года, дав компании 90 дней на выпуск обновлений. Предполагалось, что исправления выйдут 13 января 2015 года в рамках планового выпуска патчей по вторникам, однако релиз был отложен из-за проблем с совместимостью.

Напомним , что 11 января, всего за 2 дня до выхода обновлений, Google публично раскрыла бреши, о которых сообщила Microsoft 13 октября 2014 года. Несмотря на то, что Рэдмонд посчитал подобные действия безответственными и призвал к более гибкому подходу, Google не отступила от своей политики и вновь обнародовала сведения об уязвимости в Windows, не дожидаясь выхода исправлений в феврале.

Брешь возникает в Windows 7 и 8.1 из-за того, что реализация в CNG.sys не проверяет уровень имперсонализации маркера доступа при захвате ID сессии (с использованием SeQueryAuthenticationIdToken). В связи с этим на уровне идентификации обычный пользователь может выдать себя за другого и расшифровать или зашифровать данные этой сессии.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код