Google Project Zero указал Microsoft на неполные августовские патчи

Екатерина Быстрова 12 Августа 2020 - 16:44

Домашние пользователи

...

Исследователи Google Project Zero указали Microsoft на некачественный набор обновлений, вышедший вчера, 11 августа. В связи с этим проект отказался продлить стандартный 90-дневный срок до раскрытия подробностей непропатченной в этом месяце уязвимости.

Один из 120 багов, которые Microsoft устранила вчера, известен под идентификатором CVE-2020-1509. Именно об этой уязвимости корпорация из Редмонда узнала благодаря экспертам Google Project Zero. 5 мая Джеймс Форшоу, специализирующийся на безопасности Windows, передал все подробности Microsoft.

CVE-2020-1509 позволяет удалённому атакующему повысить свои права в системе с помощью отправки специально созданного запроса аутентификации службе LSASS. Условие для эксплуатации — злоумышленник должен сначала скомпрометировать учётные данные пользователя Windows.

Несмотря на то, что уязвимость получила среднюю степень опасности, стоит учитывать, что LSASS является ключевым процессом для аутентификации пользователей.

Согласно описанию бреши, она затрагивает все версии операционной системы Windows, включая последний релиз — Windows 10 2004.

Поскольку исследователи Google Project Zero были уверены, что Microsoft полностью устранила баг, они опубликовали его детали и даже код эксплойта.

По словам Форшоу, августовский патч Microsoft неполный. Например, LSASS не совсем корректно задействует возможности «корпоративной аутентификации». В результате любое UWP-приложение может аутентифицироваться с учётными данными пользователя.

Будем надеяться, что разработчики Microsoft смогут оперативно принять меры и дополнительно пропатчить существующую проблему безопасности.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Яков Шпунт 27 Января 2026 - 19:43

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

ФСБ России получит право отключать любую связь

Госдума приняла в первом чтении правительственный законопроект, который наделяет ФСБ правом отключать любые виды связи и интернет — включая стационарные — для «защиты граждан и государства от угроз безопасности». При этом операторы связи в случае таких отключений освобождаются от любых претензий со стороны абонентов.

Законопроект был внесён в Госдуму правительством в ноябре 2025 года, а сегодня, 27 января, документ был принят в первом чтении.

При этом сама мера была анонсирована ещё летом 2025 года. Тогда начались активные консультации между Минцифры, операторами связи и экспертами по поводу регламента отключения мобильного интернета.

Выяснилось, что такие отключения нередко инициировали различные структуры, в том числе на региональном уровне, не всегда обладавшие чётко определёнными полномочиями. На этом фоне встал вопрос о создании единого органа, который бы координировал процесс ограничения связи.

Документ вносит изменения в статьи 44 и 46 Федерального закона «О связи». Согласно пояснительной записке, операторы связи обязаны прекращать оказание услуг при получении соответствующего требования от ФСБ — в случаях, предусмотренных нормативными правовыми актами президента и правительства, и в целях защиты от угроз безопасности граждан и государства.

Одновременно операторы освобождаются от ответственности перед клиентами за отключение услуг по требованию ФСБ. Как пояснил РБК замглавы Минцифры Иван Лебедев, необходимость этих поправок связана с большим числом жалоб и претензий со стороны абонентов в адрес операторов связи.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »