Баг позволяет завалить Windows 10 в BSOD с помощью пути в строке Chrome

Баг позволяет завалить Windows 10 в BSOD с помощью пути в строке Chrome

Баг позволяет завалить Windows 10 в BSOD с помощью пути в строке Chrome

Новый баг в операционной системе Windows 10 способен привести к синему экрану смерти (BSOD), если пользователь введёт определённый путь в адресную строку браузера. Также BSOD может вызвать использование команд Windows.

Это уже вторая уязвимость, о которой за последние несколько дней рассказал Джонас Люкгард исследователь в области кибербезопасности, специализирующийся на Windows. Напомним, что первая 0-day может стоить пользователю данных на жёстком диске с файловой системой NTFS.

О проблеме BSOD Люкгард несколько раз предупреждал в Twitter с октября 2020 года. Если ввести определённый путь в адресной строке браузера Chrome, Windows 10 тут же завершит работу и выдаст BSOD.

По словам Люкгарда, баг связан с возможность взаимодействовать с Windows-устройством напрямую — например, когда приложения обращаются сразу к диску, обходя файловую систему.

Люкгард обнаружил специальный путь, который, насколько понял исследователь, используется для «kernel / usermode ipc». Если этот путь попытаться открыть разными способами (даже от лица пользователя с низкими привилегиями), система Windows 10 завершит работу. Специалист привёл этот путь, но предостерегаем всех от экспериментов с ним:

\\.\globalroot\device\condrv\kernelconnect

Пока эксперты затрудняются сказать, могут ли киберпреступники использовать этот баг для удалённого выполнения кода или повышения привилегий. Однако на данный момент известно, что с помощью этой ошибки злоумышленник может провести DoS-атаку. Уязвимость затрагивает Windows 10 1709 и более поздние версии операционной системы.

Авито планирует запустить сервис знакомств для серьёзных отношений

«Авито» рассматривает запуск собственного сервиса знакомств прямо внутри основного приложения. Компания подтвердила, что идея находится в проработке, но окончательного решения пока нет: сначала изучат рынок, поведение пользователей и спрос.

По данным «Коммерсанта», сервис планируют сделать бесплатным и ориентировать на серьёзные отношения.

Главной ставкой станет безопасность: обязательная верификация профилей, борьба с ботами и фейковыми анкетами, трёхступенчатая модерация и защищённые каналы общения. Для проверки личности могут подключить внешние сервисы, включая «Госуслуги».

Рекомендации партнёров хотят строить на технологиях, которые «Авито» уже использует в каталоге объявлений. На платформе работают более 100 моделей машинного обучения, и теперь им, возможно, придётся подбирать не квартиры и автомобили, а потенциальную любовь всей жизни.

Перед полноценным запуском компания собирается проверить интерес пользователей методом Fake Door: показать функцию так, будто она уже существует, и посмотреть, сколько человек попытаются ею воспользоваться.

Конкуренты встречают идею без паники. В Mamba считают выход «Авито» логичным, но напоминают, что обязательная верификация давно перестала быть уникальной фишкой. В Twinby предполагают, что сервис нужен прежде всего для увеличения времени, которое пользователи проводят в приложении.

Есть и неудобный вопрос: захотят ли люди смешивать профиль с объявлениями и анкету для знакомств. Всё-таки продавать диван и искать серьёзные отношения под одним аккаунтом — уровень цифровой открытости, к которому готовы не все.

Пока «Авито Знакомства» существуют только в планах. Но если проект запустят, привычная фраза «нашлось на Авито» получит совершенно новый смысл.

RSS: Новости на портале Anti-Malware.ru