Google опубликовал код эксплойта для критического RCE-бага в Windows 10

Олег Иванов 01 Марта 2021 - 09:23

Домашние пользователи

...

Специалисты команды Google Project Zero поделились с общественностью техническими деталями и PoC-кодом эксплойта для критической уязвимости в графическом компоненте Windows. Известно, что эта брешь при её успешной эксплуатации допускает удалённое выполнение кода.

Ранее исследователи Google Project Zero обнаружили уязвимость, которой позже был присвоен идентификатор CVE-2021-24093. Баг затрагивает API Windows, отвечающее за рендеринг текста, — Microsoft DirectWrite.

По словам специалистов, они донесли до Microsoft информацию о баге ещё в ноябре. Разработчики в этот раз не стали тянуть с выпуском патча и разослали его вместе с февральским набором обновлений.

Опасность выявленной уязвимости заключается в охвате многих версий Windows 10 и Windows Server. Брешь затрагивает даже последний релиз под номером 20H2. Спустя 90 дней после того, как команда Google Project Zero нашла баг, эксперты опубликовали код эксплойта, предназначенный для демонстрации наличия дыры на полностью пропатченных на тот момент системах Windows 10 1909.

«Proof-of-concept содержится в виде шрифта TrueType вместе с HTML-файлом, который встраивает и отображает символ AE. PoC-код способен вызвать баг на полностью обновлённой системе Windows 10 1909, а также во всех современных браузерах», — писали исследователи.

Стоит отметить, что DirectWrite API используется для растеризации шрифта в популярных браузерах: Chrome, Firefox и Edge. Таким образом, злоумышленник может использовать уязвимость для повреждения памяти и выполнения произвольного кода.

Использовать уязвимость можно с помощью веб-сайтов со специально подготовленным шрифтом TrueType, достаточно лишь заманить жертву на такие ресурсы.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 12:24

Соответствие законодательству РФ Домашние пользователи Государство

В России предложили закрыть соцсети для детей младше 14 лет

В России снова заговорили о возрастном цензе для соцсетей. Член комиссии Общественной палаты РФ Евгений Машаров предложил запретить доступ к ним детям младше 14 лет. Логика понятная: соцсети давно стали не только местом для мемов и переписок, но и охотничьими угодьями для мошенников.

Машаров заявил «РИА Новости», что разумные ограничения нужны, а в ряде стран похожие меры уже применяются или обсуждаются.

Ранее он предлагал планку в 16 лет, но теперь считает, что с учётом уже принятых мер можно говорить о возрасте 14 лет. Его прошлую инициативу о доступе к соцсетям только с 16 лет СМИ публиковали в декабре 2025 года.

Главный аргумент — защита детей от интернет-мошенничества. Правда, сам Машаров признаёт: стопроцентной брони не получится. Подростки, как обычно, могут включить VPN.

Россия в этом вопросе не одинока. В Австралии с 10 декабря 2025 года вступил в силу запрет на использование соцсетей детьми младше 16 лет: платформы должны ограничивать создание и ведение аккаунтов несовершеннолетними.

Похожие идеи обсуждаются и в других странах. Вопрос, как всегда, не только в благих намерениях, но и в исполнении. Запретить детям соцсети на бумаге легко.

А вот понять, кто будет проверять возраст, как не превратить это в массовую идентификацию всех пользователей и что делать с обходом ограничений, — уже задачка посложнее.

Пока инициатива без внятного механизма легко превращается в большую бюрократическую игру.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!