Google опубликовал код эксплойта для критического RCE-бага в Windows 10

Олег Иванов 01 Марта 2021 - 09:23

Домашние пользователи

...

Специалисты команды Google Project Zero поделились с общественностью техническими деталями и PoC-кодом эксплойта для критической уязвимости в графическом компоненте Windows. Известно, что эта брешь при её успешной эксплуатации допускает удалённое выполнение кода.

Ранее исследователи Google Project Zero обнаружили уязвимость, которой позже был присвоен идентификатор CVE-2021-24093. Баг затрагивает API Windows, отвечающее за рендеринг текста, — Microsoft DirectWrite.

По словам специалистов, они донесли до Microsoft информацию о баге ещё в ноябре. Разработчики в этот раз не стали тянуть с выпуском патча и разослали его вместе с февральским набором обновлений.

Опасность выявленной уязвимости заключается в охвате многих версий Windows 10 и Windows Server. Брешь затрагивает даже последний релиз под номером 20H2. Спустя 90 дней после того, как команда Google Project Zero нашла баг, эксперты опубликовали код эксплойта, предназначенный для демонстрации наличия дыры на полностью пропатченных на тот момент системах Windows 10 1909.

«Proof-of-concept содержится в виде шрифта TrueType вместе с HTML-файлом, который встраивает и отображает символ AE. PoC-код способен вызвать баг на полностью обновлённой системе Windows 10 1909, а также во всех современных браузерах», — писали исследователи.

Стоит отметить, что DirectWrite API используется для растеризации шрифта в популярных браузерах: Chrome, Firefox и Edge. Таким образом, злоумышленник может использовать уязвимость для повреждения памяти и выполнения произвольного кода.

Использовать уязвимость можно с помощью веб-сайтов со специально подготовленным шрифтом TrueType, достаточно лишь заманить жертву на такие ресурсы.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Мая 2026 - 17:53

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Домашние пользователи Государство

В России письменные дипломы могут заменить устными экзаменами из-за ИИ

Развитие искусственного интеллекта может довести российские вузы до очень старой, но внезапно снова актуальной идеи: вместо письменной дипломной работы — устный экзамен. Министр науки и высшего образования РФ Валерий Фальков заявил, что такой формат позволит честнее оценивать реальные знания и компетенции студентов.

Логика простая: если текст можно сгенерировать, отредактировать и красиво упаковать с помощью ИИ, то сама по себе письменная работа уже не всегда показывает, что студент действительно понимает тему.

А вот на устном экзамене спрятаться за нейросетью сложнее: преподаватель задаёт вопросы, уточняет детали, просит объяснить логику, и там уже видно, кто разбирался, а кто просто принёс красиво оформленный документ.

Фальков, как передаёт ТАСС, назвал это возвращением к истокам высшего образования с помощью ИИ. По его словам, никакая система не подготовит студента к живым вопросам преподавателя так, чтобы это нельзя было почувствовать.

Ранее министр также говорил, что уже в ближайшие годы в вузы придут студенты, для которых искусственный интеллект будет привычным инструментом с рождения. Это означает, что подходы к обучению и оценке знаний придётся пересматривать регулярно, а не раз в десятилетие по большим праздникам.

По сути, университеты сталкиваются с простой проблемой: если ИИ умеет писать всё лучше, проверять нужно не только текст, но и человека за этим текстом. И устный экзамен здесь выглядит не архаикой, а вполне рабочим античитом против дипломов, собранных по принципу «нейросеть, сделай красиво».

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!