Сегодня 09 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Windows обнаружена опасная уязвимость нулевого дня, которую закрыл сторонний разработчик

Разработчики платформы 0patch (принадлежит словенской Acros Security) выпустили бесплатный микропатч, который устраняет проблему с утечкой учётных данных NTLM в Windows. Microsoft обещала подключиться к решению проблемы позже.

 Источник изображения: Windows / unsplash.com

Источник изображения: Windows / unsplash.com

Проблема связана с утечкой учётных данных New Technology LAN Manager (NTLM) — набора разработанных Microsoft протоколов безопасности, которые используются для аутентификации пользователей и компьютеров в сети. Ещё в январе Microsoft исправила связанную с NTLM уязвимость CVE-2024-21320, но затем эксперт по кибербезопасности Akamai Томер Пелед (Tomer Peled) обнаружил, что злоумышленники могут обойти патч, отправив потенциальной жертве файл темы Windows и заставив её провести с ним некоторые манипуляции — открывать файл даже не требуется. После этих манипуляций Windows отправляет на удалённые хосты аутентифицированные сетевые запросы с учётными данными NTLN, принадлежащими пользователю.

В результате была зарегистрирована уязвимость CVE-2024-38030, связанная с подменой тем Windows — она была исправлена в июле. Специалисты Acros Security проанализировали проблему и выявили дополнительный экземпляр уязвимости, которая присутствует во всех полностью обновлённых версиях Windows вплоть до Windows 11 24H2. Компания сообщила о своей находке в Microsoft и отказалась публиковать подробности, пока софтверный гигант не исправит новую уязвимость, но выпустила собственный микропатч, который её закрывает. «Мы знаем об этом отчёте и примем необходимые меры, чтобы помочь защитить клиентов», — пообещали в Microsoft.

Чтобы эксплуатировать уязвимость, «пользователь должен либо скопировать файл темы, например, из электронного письма или чата в папку или на рабочий стол, либо посетить вредоносный сайт, с которого файл автоматически скачивается в папку „Загрузки“», — пояснили в Acros Security. То есть некоторые действия со стороны потенциальной жертвы всё-таки необходимы.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
На один из офисов Meta напала белка — сотрудник получил ранение 10 мин.
В Escape from Tarkov появились внутриигровой магазин и премиальная валюта, и фанаты не рады 32 мин.
В Spotify встроят нейросеть Google Gemini, которая предложит музыку по обстановке 2 ч.
Игра в стиле «Джона Уика», новая Perfect Dark и выживание в мире роботов: id Software нацелилась выйти за пределы Doom, но Xbox решила иначе 2 ч.
Поиск Google установил рекорд по числу запросов благодаря Чемпионату мира по футболу 2026 2 ч.
Госдума поддержала уголовное наказание за незаконное обращение криптовалюты в России — до 7 лет тюрьмы 3 ч.
Госдума приняла закон о регулировании ИИ — он требует, чтобы модели соответствовали «традиционным духовно-нравственным ценностям» 4 ч.
С выходом дополнения Revelations из Doom: The Dark Ages наконец вырезали Denuvo 5 ч.
Появился сервис по очистке программного кода от ИИ-мусора — за $10 000 его сделают в разы компактнее 8 ч.
Вставка из буфера обмена резко ускорилась в Chrome и Edge 10 ч.
Бум ИИ сделал инженеров на производстве памяти богачами — это раскалывает южнокорейское общество 7 мин.
Инженеры уложили HBM на бок — память стала быстрее, холоднее и вместительнее 59 мин.
Кризис памяти добрался до Google: грядущие смартфоны и часы Pixel могут оказаться дороже предшественников 2 ч.
Nintendo продолжит глобальные продажи первой Switch после прекращения реализации в Европе 2 ч.
Midea выпустила недорогой моющий вертикальный пылесос AT2 — он умеет убирать под мебелью и сам очищает щётку 2 ч.
Volkswagen наняла сотню овец для борьбу с растительностью на солнечной ферме 2 ч.
3,84 Тбайт в формате М.2 2280 с PCIe 4.0: Swissbit выпустила индустриальные SSD серии A2000 3 ч.
Xiaomi раскрыла внешность своего огромного гибридного внедорожника Sky Nomad N90 3 ч.
Власти США потребовали от разработчиков беспилотных автомобилей перестать мешать экстренным службам 3 ч.
Китайцы научились следить за активностью пользователя в смартфоне без взлома — по электромагнитным утечкам 3 ч.