Zero Day Initiative нашла уязвимость в Windows, полезную для хакеров

Информацию о проблеме передали в Microsoft, однако компания не устранила ее за четыре месяца.

Организация Zero Day Initiative сообщила об обнаруженной несколько месяцев назад уязвимости операционных систем Windows, позволяющей злоумышленником получать контроль над компьютером пользователя. Об этом говорится в сообщении, опубликованном в блоге организации.

Уязвимость была обнаружена в компоненте Microsoft JET Database Engine. В ZDI пояснили, что 8 мая соответствующая информация была направлена в Microsoft, однако по прошествии 120 дней уязвимость не была ликвидирована. Хотя два других бага в том же механизме корпорация исправила в обновлении, которое вышло в сентябре.

Взлом возможен в случае, если пользователь получит и откроет файл, который содержит данные, хранящиеся в формате базы данных JET. После этого у злоумышленников появится возможность удаленного выполнения кода на взломанном компьютере.

Эксперты отметили, что уязвимость найдена в операционной системе Windows 7, однако в то же время добавляют, что все версии системы, включая серверные, могут оказаться под угрозой. 

"Microsoft продолжает работать над исправлением этой уязвимости, и мы надеемся увидеть его в запланированном на октябрь выпуске обновлений. В отсутствие патча единственным средством, позволяющим снизить вероятность заражения, служат осторожность и отказ от запуска файлов из ненадежных источников", — уточнили в ZDI.

В январе корпорации Microsoft пришлось прекратить распространение обновления для операционных систем, которое приводило к выходу из строя компьютеров на базе некоторых процессоров AMD. Оно было выпущено 4 января, патч предназначался для операционных систем Windows 7, 8 и 10 и устранял обнаруженные ранее уязвимости Meltdown и Spectre. Однако после установки этого обновления пользователи компьютеров с процессором AMD стали сообщать о том, что их устройства перестали загружаться. При попытке включения компьютеры с установленным обновлением показывали "синий экран смерти" (сообщение о критической ошибке).

В Microsoft тогда сообщили, что устранят проблему совместно со специалистами AMD, и добавили, что некоторые процессоры AMD не соответствуют документации, ранее предоставленной Microsoft.