Google опубликовал код эксплойта для критического RCE-бага в Windows 10

Олег Иванов 01 Марта 2021 - 09:23

Домашние пользователи

...

Специалисты команды Google Project Zero поделились с общественностью техническими деталями и PoC-кодом эксплойта для критической уязвимости в графическом компоненте Windows. Известно, что эта брешь при её успешной эксплуатации допускает удалённое выполнение кода.

Ранее исследователи Google Project Zero обнаружили уязвимость, которой позже был присвоен идентификатор CVE-2021-24093. Баг затрагивает API Windows, отвечающее за рендеринг текста, — Microsoft DirectWrite.

По словам специалистов, они донесли до Microsoft информацию о баге ещё в ноябре. Разработчики в этот раз не стали тянуть с выпуском патча и разослали его вместе с февральским набором обновлений.

Опасность выявленной уязвимости заключается в охвате многих версий Windows 10 и Windows Server. Брешь затрагивает даже последний релиз под номером 20H2. Спустя 90 дней после того, как команда Google Project Zero нашла баг, эксперты опубликовали код эксплойта, предназначенный для демонстрации наличия дыры на полностью пропатченных на тот момент системах Windows 10 1909.

«Proof-of-concept содержится в виде шрифта TrueType вместе с HTML-файлом, который встраивает и отображает символ AE. PoC-код способен вызвать баг на полностью обновлённой системе Windows 10 1909, а также во всех современных браузерах», — писали исследователи.

Стоит отметить, что DirectWrite API используется для растеризации шрифта в популярных браузерах: Chrome, Firefox и Edge. Таким образом, злоумышленник может использовать уязвимость для повреждения памяти и выполнения произвольного кода.

Использовать уязвимость можно с помощью веб-сайтов со специально подготовленным шрифтом TrueType, достаточно лишь заманить жертву на такие ресурсы.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 25 Февраля 2026 - 19:59

Корпорации «Группа Астра»

«Группа Астра» объединила VDI и виртуализацию в одной лицензии

«Группа Астра» представила единую лицензию Termidesk Enterprise для развертывания инфраструктуры виртуальных рабочих мест (VDI). Новый формат объединяет несколько уже интегрированных продуктов компании и позволяет запускать VDI без отдельного подбора и «сшивания» разных решений.

В состав Termidesk Enterprise входят три компонента. Первый — Termidesk VDI, система для создания виртуальных рабочих мест с доступом к корпоративным данным и приложениям.

Второй — Termidesk Connect, решение класса ADC, которое выполняет функции безопасного шлюза доступа. При необходимости расширенные функции балансировки нагрузки в одном или нескольких ЦОДах лицензируются отдельно. Третий компонент — VMmanager, платформа для управления аппаратной и контейнерной виртуализацией, которая обеспечивает вычислительные ресурсы для всей инфраструктуры.

Все продукты уже протестированы на совместимость друг с другом, а их развитие синхронизируется заранее. Это должно снизить риски несовместимости версий и упростить поддержку.

Termidesk Enterprise можно использовать в разных сценариях. Помимо классического VDI с виртуальными машинами для офисной работы, поддерживается 3D-VDI — для задач с ресурсоемкой графикой, например в САПР.

Возможен и вариант терминального сервера, где пользователи работают в общем окружении под одной ОС. Также предусмотрена публикация отдельных приложений с терминального сервера на устройства пользователей и организация удаленного доступа к физическим рабочим станциям без сторонних инструментов.

Решение ориентировано как на крупные организации и госсектор, где актуальны проекты импортозамещения, так и на компании среднего и малого бизнеса, которым нужно быстро запустить виртуальные рабочие места.

Параллельно компания запустила образовательную программу «TDHA: Развертывание и расширенное управление высокодоступной инфраструктурой Termidesk». В рамках курса слушатели изучают построение отказоустойчивых конфигураций, настройку кластеров управления и масштабирование системы.

В «Группе Астра» отмечают, что формат единой лицензии призван упростить выбор компонентов для VDI-инфраструктуры и сократить время на внедрение.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!