Microsoft сегодня выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергают опасности пользователей Windows 8.1.
Уязвимость связана с багом в работе User Profile Service. Баг проявляется каждый раз при авторизации пользователя и допускает повышение привилегий в системе (а именно, даёт доступ к UsrClass.dat для любого пользователя, который зарегистрирован в системе). Уязвимость достаточно легко эксплуатируется.
Вместе с описанием уязвимости исследователи из Google выложили PoC-файл для Windows 8.1 (set_temp.bat), который создаёт директорию \Windows\faketemp.
Информация опубликована в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут уязвимости в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. В данном случае Microsoft слегка не уложилась в отведённые 90 дней, так что теперь любой желающий может эксплуатировать этот достаточно опасный баг.
«Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — пишет Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».
