Исследователь под псевдонимом Nightmare Eclipse вынудил Microsoft ускорить патчинг: компания закрыла две критические уязвимости нулевого дня в Windows, публично раскрытые энтузиастом. Эти бреши позволяли злоумышленникам повышать привилегии до системного уровня, что ставит под угрозу безопасность миллионов пользовательских компьютеров, использующих стандартные инструменты системы.
Центральной угрозой стала уязвимость CVE-2026-45586, скрывавшаяся в Windows Collaborative Translation Framework. Ошибка позволяла атакующим с минимальными правами доступа получать полный контроль над ОС без участия пользователя. Второй исправленный баг, известный как MiniPlasma, оказался следствием неполного патча для проблемы шестилетней давности — уязвимости CVE-2020-17103, которая вернулась в систему из-за регрессии кода.Конфликт между Microsoft и Nightmare Eclipse перешел в публичную плоскость после того, как исследователь обвинил корпорацию в нарушении договоренностей о раскрытии данных. В ответ на игнорирование своих отчетов он начал выкладывать proof-of-concept-код в открытый доступ. Несмотря на устранение части дефектов, в арсенале исследователя остаются другие опасные находки: например, уязвимость YellowKey, позволяющая обходить шифрование BitLocker, и критические ошибки в Windows Defender. Пока Microsoft ограничивается лишь инструкциями по ручному снижению рисков для этих проблем, противостояние с экспертом продолжается, оставляя пользователей в состоянии неопределенности относительно защищенности их данных.
Комментарии (0)
Пока нет комментариев. Будьте первым!