В Windows 7 найдена критическая уязвимость, открывающая злоумышленникам доступ через бреши в компонентах, которые нужны для установки ОС. Майкрософт пока ничего не сделал, так как прекратил поддержку «Семерки», но ресурс 0patch выложил временный бесплатный патч.
Уязвимость нулевого дня повышает привилегии в Windows 7 и Windows Server 2008 R2 и распространяется на все устройства под их управлением, в том числе входящие в программу расширенной поддержки Майкрософта ESU.
Уязвимость позволяет злоумышленнику с локальным доступом повысить уровень своих привилегий. О проблеме сообщил обнаруживший ее в начале месяца эксперт в сфере кибербезопасности Клеман Лабро. По его исследованию, злоумышленник без прав админа может запустить сперва мониторинг производительности, а затем произвольный код, создав подраздел в проблемном ключе реестра. Неофициальное исправление 0patch саботирует операции, которые может запустить злоумышленник. Если пользователю самому нужен мониторинг производительности, патч можно отключить на время.