Positive Security жалуется, что Microsoft проигнорировала сообщения об уязвимости
Немецкие исследователи кибербезопасности из Positive Security нашли уязвимость в операционных системах Windows 10 и 11. По их заявлениям, Microsoft проигнорировала сообщения о новой уязвимости в ее операционных системах.
Так называемые «белые хакеры» из Берлина обнаружили в Windows 10 и 11 уязвимость, приводящую к удалённому выполнению кода, так называемую уязвимость класса «drive-by» (скрытая загрузка). Проблема кроется в стандартном обработчике URI вида «ms-officecmd:» и допускает «argument injection» (инъекцию аргумента).
Специалисты по безопасности выложили видео и подробное описание выявленной проблемы к себе на сайт. Они неоднократно упоминают, что нашли довольно серьезную проблему, и им причитается больше денег, чем они получили. По их словам, Microsoft неверно оценила масштаб проблемы и выплатила им только 10 процентов от суммы вознаграждения по программе поиска уязвимостей ($5 тысяч вместо $50 тысяч). Positive Security говорят, что самой уязвимости даже не хотели присваивать CVE-идентификатор. В их блоге приведена хронология событий и описание общения с Microsoft. 5 месяцев спустя эта уязвимость всё ещё не устранена.
На текущий момент брешь еще присутствует в Windows 11 последней версии и её вполне можно задействовать в хакерской атаке. А специалисты из Positive Securityвсе еще надеются на причитающееся им вознаграждение
