Новости Software

Microsoft потребовалось два года для устранения уязвимости нулевого дня в Windows

На прошлой неделе Microsoft в рамках программы Patch Tuesday выпустила пакет обновлений безопасности, который устраняет 120 уязвимостей в 13 продуктах компании, включая две уязвимости нулевого дня. Microsoft по традиции не раскрыла подробностей касательно уязвимостей нулевого дня, но на деле оказалось, что о существовании одной из них разработчики узнали ещё в августе 2018 года.

Речь идёт об уязвимости CVE-2020-1464, эксплуатация которой позволяет злоумышленникам подделывать цифровые подписи файлов для обхода функций безопасности, используемых для проверки подлинности файлов с цифровой подписью. Источник говорит о том, что эта уязвимость затрагивала все поддерживаемые версии Windows и использовалась хакерами на практике как минимум с августа 2018 года.

За последние полтора года несколько исследователей в сфере кибербезопасности сообщили Microsoft о наличии данной проблемы. Например, ещё в январе прошлого года сотрудник принадлежащего Google сервиса VirusTotal Бернардо Кинтеро (Bernardo Quintero) опубликовал некоторые подробности касательно данной уязвимости, отметив, что были зафиксированы случаи её эксплуатации злоумышленниками. По словам Кинтеро, уже тогда разработчики из Microsoft подтвердили наличие проблемы и согласились с его выводами, но по каким-то причинам компания отложила решение проблемы.

На просьбу прокомментировать, почему компания ждала два года, прежде чем исправить ошибку, которая активно использовалась злоумышленниками, Microsoft уклонилась от ответа, заявив, что установившие последнее обновление безопасности пользователи Windows защищены от атак данного типа.

«Обновление безопасности было выпущено в августе. Клиенты, установившие обновление или включившие функцию автоматического обновления, будут защищены. Мы продолжаем побуждать клиентов включать функцию автоматического обновления, чтобы обеспечить их безопасность», — говорится в сообщении Microsoft.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Квантовое превосходство китайского квантового компьютера тоже оказалось мифом 13 мин.
Transcend представила твердотельные накопители на основе 112-слойной памяти 3D NAND 49 мин.
EVGA представила экстремальный игровой десктоп E1 с аналоговыми датчиками температуры 55 мин.
Toyota второй год подряд стала крупнейшим автопроизводителем и увеличила отрыв от Volkswagen — помог дефицит 2 ч.
Серверы Nokia Core на базе AMD EPYC Milan помогут операторам связи сократить выбросы углекислого газа 2 ч.
Российские промышленники воспротивились применению «закона Яровой» к технологическим сетям предприятий 2 ч.
Land Cruiser для Луны: Toyota разрабатывает пассажирский луноход Lunar Cruiser с роборукой 2 ч.
Thermaltake представила множество новинок на 2022 Thermaltake Expo: корпуса, БП, охлаждение, память и периферия 3 ч.
Электромобили Lotus будут использовать твердотельные аккумуляторы Britishvolt 3 ч.
Игровой ноутбук Lenovo Legion Y7000P 2022 получит видеокарту GeForce RTX 3050 Ti 3 ч.