Microsoft zero-day утечка: новые уязвимости

Неизвестный исследователь сливает уязвимости Windows, как будто собирает коллекцию — и Microsoft явно не в восторге.

Помните ту историю, когда обиженный исследователь решил, что Microsoft недостаточно быстро чинит баги, и начал выкладывать zero-day в открытый доступ? Так вот, у неё продолжение. Наш герой, скрывающийся под ником, похожим на пароль от Wi-Fi соседа, снова вышел на связь и опубликовал ещё две критические уязвимости. Теперь у Microsoft появился личный «календарь неприятностей» — и судя по всему, он не синхронизируется с Patch Tuesday.

Новые дыры затрагивают ядро Windows и один из системных компонентов, который разработчики привыкли считать «священной коровой». Если вы думали, что ваш билд на CI/CD и так падает слишком часто, то представьте, каково будет, когда эти уязвимости начнут эксплуатировать в реальных атаках. Это как если бы ваш CI-сервер вдруг начал сам удалять прод-базу — только в масштабах всей экосистемы Microsoft.

Конечно, утечка zero-day — это не подарок судьбы. С одной стороны, это давит на вендора, заставляя шевелиться быстрее. С другой — пока Microsoft выпустит патч, любой script kiddie может успеть собрать армию ботов. Напоминает ситуацию, когда разработчик забыл закоммитить .env файл в репозиторий, но тут ставки чуть выше.

Что делать обычному разработчику? Пока Microsoft в авральном режиме клепает обновления, стоит проверить, не используете ли вы в своих проектах уязвимые версии Windows или библиотек. И да, возможно, стоит отключить автоматические обновления на пару дней — чтобы не словить «синий экран» раньше, чем выйдет нормальный фикс.

Комментарий METABYTE: Мы, конечно, не одобряем методы «justice by leak», но если ваш проект столкнулся с zero-day — наша команда всегда готова помочь с аудитом безопасности и быстрым развёртыванием патчей. Главное — не пытайтесь повторить трюк с публикацией уязвимостей, у нас и так хватает проблем с багами в JIRA.