Хакерский отдел Google обидел Мелкомягких.

Microsoft выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны были выпустить 15 января. По мнению Microsoft, конкуренты злорадно подвергают опасности пользователей Windows 8.1.

Уязвимость связана с багом в работе User Profile Service. Баг проявляется каждый раз при авторизации пользователя и допускает повышение привилегий в системе (а именно, даёт доступ к UsrClass.dat для любого пользователя, который зарегистрирован в системе). Уязвимость достаточно легко эксплуатируется.

Вместе с описанием уязвимости исследователи из Google выложили PoC-файл для Windows 8.1 (set_temp.bat), который создаёт директорию \Windows\faketemp.

Информация опубликована в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут уязвимости в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. В данном случае Microsoft слегка не уложилась в отведённые 90 дней, так что теперь любой желающий может эксплуатировать этот достаточно опасный баг.

«Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — пишет Крис Бец (Chris Betz), старший директор Microsoft Security Response Center.

— То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».

Теперь под хакерский кнут попала Apple.

В онлайне опубликована информация о трёх уязвимостях в операционной системе OS X (вместе с эксплоитами). Уязвимости дают возможность повышения привилегий и удалённого исполнения кода в операционной системе, эксплуатируя баги в networkd (effective_audit_token), IntelAccelerator и IOBluetoothDevice.

Apple уведомлена об уязвимостях 20 октября 2014 года, но до сих пор не устранила их. Есть информация, что патчи включены в апдейт OS X Yosemite 10.10.2, который сейчас проходит бета-тестирование.

Уязвимости опубликованы в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут баги в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. Если тот не уложился в отведённые 90 дней, то любой желающий может эксплуатировать эти баги.