Сегодня 24 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Windows обнаружена опасная уязвимость нулевого дня, которую закрыл сторонний разработчик

Разработчики платформы 0patch (принадлежит словенской Acros Security) выпустили бесплатный микропатч, который устраняет проблему с утечкой учётных данных NTLM в Windows. Microsoft обещала подключиться к решению проблемы позже.

 Источник изображения: Windows / unsplash.com

Источник изображения: Windows / unsplash.com

Проблема связана с утечкой учётных данных New Technology LAN Manager (NTLM) — набора разработанных Microsoft протоколов безопасности, которые используются для аутентификации пользователей и компьютеров в сети. Ещё в январе Microsoft исправила связанную с NTLM уязвимость CVE-2024-21320, но затем эксперт по кибербезопасности Akamai Томер Пелед (Tomer Peled) обнаружил, что злоумышленники могут обойти патч, отправив потенциальной жертве файл темы Windows и заставив её провести с ним некоторые манипуляции — открывать файл даже не требуется. После этих манипуляций Windows отправляет на удалённые хосты аутентифицированные сетевые запросы с учётными данными NTLN, принадлежащими пользователю.

В результате была зарегистрирована уязвимость CVE-2024-38030, связанная с подменой тем Windows — она была исправлена в июле. Специалисты Acros Security проанализировали проблему и выявили дополнительный экземпляр уязвимости, которая присутствует во всех полностью обновлённых версиях Windows вплоть до Windows 11 24H2. Компания сообщила о своей находке в Microsoft и отказалась публиковать подробности, пока софтверный гигант не исправит новую уязвимость, но выпустила собственный микропатч, который её закрывает. «Мы знаем об этом отчёте и примем необходимые меры, чтобы помочь защитить клиентов», — пообещали в Microsoft.

Чтобы эксплуатировать уязвимость, «пользователь должен либо скопировать файл темы, например, из электронного письма или чата в папку или на рабочий стол, либо посетить вредоносный сайт, с которого файл автоматически скачивается в папку „Загрузки“», — пояснили в Acros Security. То есть некоторые действия со стороны потенциальной жертвы всё-таки необходимы.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Российский суд запретил Google продолжить процесс по банкротству «Гугл» в США 49 мин.
Создатели The Quarry и Until Dawn должны были выпустить экшен во вселенной «Бегущего по лезвию» — детали отменённой Blade Runner: Time To Live 53 мин.
«Ошеломляющий объём работы»: ремастер The Elder Scrolls IV: Oblivion поразил дизайнера оригинальной игры 2 ч.
Минфин и ЦБ РФ запустят криптобиржу для «суперквалифицированных» инвесторов 4 ч.
«Возвращает легенду в строй»: антиутопическое приключение на колёсах Beholder: Conductor вышло в Steam и порадовало игроков 4 ч.
Герои не нашего времени: Ubisoft анонсировала мобильную блокчейн-игру Might and Magic Fates 5 ч.
В WhatsApp теперь можно запретить экспорт переписки и автозагрузку фото из чата, а также ограничить Meta AI 6 ч.
Google и X могут стать следующими целями для Еврокомиссии 6 ч.
Google проиграла биткоину по рыночной капитализации 7 ч.
ИИ обрёл человеческое лицо: Character.AI представила модель AvatarFX для превращения ботов в анимированных персонажей 8 ч.
Китайские IT-гиганты всё-таки успели закупить NVIDIA H20 на миллиарды долларов до объявления новых санкций 10 мин.
Новая статья: Обзор планшета DIGMA PRO Empire: успешная попытка усидеть на двух стульях 21 мин.
Не было бы счастья: Индия и Китай стали лидерами по внедрению IPv6 потому, что когда-то им досталось совсем мало IPv4-адресов 40 мин.
Учёные предложили буквально пускать золотую пыль в глаза для лечения возрастной слепоты 2 ч.
Meta запустила онлайн-переводы и другие функции на базе ИИ для умных очков Ray-Ban 4 ч.
AMD подтвердила участие в Computex 2025 — ожидается анонс Radeon RX 9060 XT 4 ч.
Honor представила фитнес-браслет Band 10 за $34 — он умеет выявлять проблемы с сердцем на ранних этапах 6 ч.
Дроны против молний: в Японии нашли замену громоотводам 7 ч.
Представлен флагманский смартфон Realme GT7 с чипом Dimensity 9400+ и батареей на 7200 мА·ч за $355 7 ч.
Бум ИИ помог SK hynix сместить Samsung с позиции лидера на рынке DRAM 8 ч.