Google в очередной раз опубликовала подробности о брешах в Windows, полностью проигнорировав призывы Microsoft к более гибкой системе раскрытия уязвимостей. Отметим, что в рамках Project Zero исследователи Google, обнаружившие бреши в продуктах, сообщают о них производителям и дают 90 дней на выпуск обновлений. Если по истечении этого срока уязвимости остаются неисправленными, они разглашают подробности о брешах широкой публике.
Эксперты Google сообщили Microsoft об уязвимости в Windows 7 и 8.1 еще 17 октября 2014 г., дав компании 90 дней на выпуск обновлений. Предполагалось, что исправления выйдут 13 января 2015 г. в рамках планового выпуска патчей по вторникам, однако релиз был отложен из-за проблем с совместимостью.
Напомним , что 11 января, всего за 2 дня до выхода обновлений, Google публично раскрыла бреши, о которых сообщила Microsoft 13 октября 2014 г. Несмотря на то, что Рэдмонд посчитал подобные действия безответственными и призвал к более гибкому подходу, Google не отступила от своей политики и вновь обнародовала сведения об уязвимости в Windows, не дожидаясь выхода исправлений в феврале. Брешь возникает в Windows 7 и 8.1 из-за того, что реализация в CNG.sys не проверяет уровень имперсонализации маркера доступа при захвате ID сессии (с использованием SeQueryAuthenticationIdToken). В связи с этим на уровне идентификации обычный пользователь может выдать себя за другого и расшифровать или зашифровать данные этой сессии. (Microsoft/NovostIT)