«Блокнот» все еще нуждается в патче для устранения уязвимости
Тавис Орманди, специалист по безопасности из Google, в конце мая этого года обнаружил уязвимость выполнения кода в операционной системе Windows. Брешь была замечена в неожиданном месте, а именно текстовом редакторе «Блокнот». Эксперт написал об этом в своем Twitter, хотя суть проблемы раскрывать не стал.
По прикрепленному к посту изображению можно предположить, что командную строку можно запустить через notepad.exe, исполняемый файл блокнота. Тавис был удивлен тем фактом, что он, вероятно, является первым специалистом, наткнувшимся на уязвимость. Своих подписчиков он заверяет, что это вполне реальный баг, а не обычная спекуляция.
Орманди написал в Microsoft сразу же после обнаружения уязвимости. По правилам Google Project Zero разработчики должны «заделать дыру» в ближайшие 90 дней, после ее обнаружения. Ожидалось, что Microsoft исправит проблему ко второму вторнику июля, когда выпустит обновления безопасности. Разработчики компании не успели сделать это до релиза очередного комплекта патчей, так как срок оказался недостаточным.
Тавис Орманди говорит о том, что уже создал для бага работающий эксплойт и обещает своим подписчикам раскрыть технические подробности проблемы после выпуска патча решающего проблему или истечения 90-дневного срока.
