На прошлой неделе компания Google во второй раз за последние полгода раскрыла информацию об уязвимости в продукции Microsoft, не дожидаясь выхода официального патча. Тогда исследователи рассказали об обнаружении проблемы в компоненте Windows GDI (Graphics Device Interface). Ранее, в ноябре 2016 года, специалисты Google точно так же опубликовали информацию о 0-day баге в ярде Windows, решив не ждать выхода исправления.
Теперь, 24 февраля 2017 года, исследователь Google Project Zero Иван Фратрик (Ivan Fratric) рассказал о баге типа type confusion, получившем идентификатор CVE-2017-0037. Проблема позволяет атакующему выполнить вредоносный код на целевом компьютере и перехватить контроль над устройством.
Стоит отметить, что проблема была обнаружена еще в конце ноября 2016 года, но не была устранена за отведенные для этого 90 дней, так что технически исследователь имел право обнародовать информацию.
Подробное описание проблемы Франтрик подкрепил кодом proof-of-concept эксплоита, который вызывает «падение» уязвимого браузера, но также дает злоумышленнику возможность выполнить на устройстве произвольный код. Приведенный в отчете PoC предназначен для 64-битной версии IE, запущенного на Windows Server 2012 R2. Но исследователь пишет, что Microsoft Edge и 32-битные версии IE 11 должны быть точно также уязвимы перед проблемой.
Напомню, что этом месяце компания Microsoft вообще не выпускала никаких патчей (не считая устранения багов в Adobe Flash Player), так как традиционный «вторник обновлений» был отложен до марта 2017 года. Представители компании пояснили, что такое решение было продиктовано некими «проблемами, возникшими в последнюю минуту, которые могут затронуть некоторых пользователей».