В этом месяце компания Microsoft не выпустила запланированные на февраль патчи, то есть «вторник обновлений» был отложен до следующего месяца. Представители компании пояснили, что такое решение было продиктовано некими «проблемами, возникшими в последнюю минуту, которые могут затронуть некоторых пользователей». Однако это обстоятельно не помешало специалистам Google Project Zero раскрыть детали о новом баге.

Проблему обнаружили в Windows GDI (Graphics Device Interface, а именно — gdi32.dll). Данный интерфейс используется для представления графических объектов и передачи их на устройства отображения, такие, как мониторы и принтеры.

Согласно официальному отчету об ошибке, заполненному исследователями Project Zero, баг был обнаружен еще в марте 2016 года, наряду с другими проблемами. Большинство из найденных тогда уязвимостей были исправлены еще в июне 2016 года, с выходом бюллетеня безопасности MS16-074. Однако Матеуш Юрчик (Mateusz Jurczyk), обнаруживший изначальную проблему, заметил, что некоторые патчи из состава MS16-074 неэффективны, и некоторые уязвимости по-прежнему актуальны.

После проведения всех надлежащих проверок, в ноябре 2016 года, Юрчик написал новый отчет об ошибке, но на этот раз инженеры Microsoft не сумели устранить проблему за отведенные на это 90 дней. По истечении этого строка, специалисты Google имели право сообщить о баге публично, что они и поспешили сделать.

Старая-новая проблема имеет идентификатор CVE-2017-0038 и затрагивает ОС семейства Windows, начиная от Windows Vista Service Pack 2 и заканчивая Windows 10. Баг позволяет атакующим использовать метафайлы EMF для доступа к памяти и извлечения из нее информации. А в памяти атакующие могут обнаружить многое. Кроме того, проблема осложняется тем, что  вредоносный EMF-файл можно скрыть в обычном документе, а способов как-то защититься до выхода патча исследователь не обнаружил. Proof-of-concept такого файла исследователь приложил к отчету. Юрчик пишет:

«Я убедился, что уязвимость можно воспроизвести как локально, посредством Internet Explorer, так и удаленно, с помощью Office Online, используя .docx-документ, содержащий специально отредактированный EMF-файл».

Стоит отметить, что это уже не первый случай, когда исследователи Google опубликовали информацию об уязвимости до выхода патча. Так, в ноябре 2016 года эксперты компании рассказали о наличии критической 0-day уязвимости в ядре Windows, прежде чем разработчики Microsoft успели ее исправить. Тогда представители Microsoft резко осудили поступок исследователей, заявив, что «Google подвергла пользователей потенциальному риску».

 



1 комментарий

  1. Dwemer

    21.02.2017 at 10:42

    «Тогда представители Microsoft резко осудили поступок исследователей, заявив, что «Google подвергла пользователей потенциальному риску».» Они накосячили, а виноват Google

Оставить мнение