Компания проигнорировала призыв Microsoft к использованию более гибкой системы раскрытия уязвимостей.
Google в очередной раз опубликовала подробности о брешах в Windows, полностью проигнорировав призывы Microsoft к более гибкой системе раскрытия уязвимостей. Отметим, что в рамках Project Zero исследователи Google, обнаружившие бреши в продуктах, сообщают о них производителям и дают 90 дней на выпуск обновлений. Если по истечении этого срока уязвимости остаются неисправленными, они разглашают подробности о брешах широкой публике.
Эксперты Google сообщили Microsoft об уязвимости в Windows 7 и 8.1 еще 17 октября 2014 года, дав компании 90 дней на выпуск обновлений. Предполагалось, что исправления выйдут 13 января 2015 года в рамках планового выпуска патчей по вторникам, однако релиз был отложен из-за проблем с совместимостью.
Напомним , что 11 января, всего за 2 дня до выхода обновлений, Google публично раскрыла бреши, о которых сообщила Microsoft 13 октября 2014 года. Несмотря на то, что Рэдмонд посчитал подобные действия безответственными и призвал к более гибкому подходу, Google не отступила от своей политики и вновь обнародовала сведения об уязвимости в Windows, не дожидаясь выхода исправлений в феврале.
Брешь возникает в Windows 7 и 8.1 из-за того, что реализация в CNG.sys не проверяет уровень имперсонализации маркера доступа при захвате ID сессии (с использованием SeQueryAuthenticationIdToken). В связи с этим на уровне идентификации обычный пользователь может выдать себя за другого и расшифровать или зашифровать данные этой сессии.
Подробнее ознакомиться с уязвимостью можно по адресу: http://securitylab.ru/vulnerability/469950.php .
Собираем и анализируем опыт профессионалов ИБ