Пользователи операционной системы Windows в очередной раз оказались под ударом после того, как участник проекта Google Project Zero рассказал о незакрытой уязвимости в ней. Матеушь Джурчик сообщил об уязвимости в файле gdl32.dll, которая позволяет взламывать системы Windows. Об этом в Microsoft якобы впервые узнали ещё в марте 2016. Microsoft выпустила патч MS16-074 в июне, но исследователь Google говорит, что была решена лишь часть проблемы.
Джурчик снова связался с Microsoft 16 ноября, но поскольку после этого обновления выпущено не было, в рамках политики Google Project Zero он решил обнародовать информацию об уязвимости. Эта программа даёт разработчикам 90 дней на закрытие уязвимостей после получения первого уведомления об их существовании, после чего данные становятся доступными публично.
Microsoft пока не комментирует обнародование этой информации, однако момент выбран не самый подходящий. Пользователи так и не дождались февральских вторничных патчей и релиза следующих теперь предстоит ждать целый месяц. Кроме того, неизвестно, собиралась ли Microsoft закрывать эту уязвимость в феврале и соберётся ли в марте. К счастью, использовать её непросто, поскольку требуется создать специальный файл EMF, для чего нужно иметь физический доступ к уязвимому компьютеру.
Это уже не первый случай, когда Google рассказывает о незакрытых уязвимостях Windows. То же самое случилось в ноябре с уязвимостью, которая позволяла хакерам получить права администратора на компьютерах.
