Специалист в области кибербезопасности и сотрудник Google Project Zero Тэвис Орманди (Tavis Ormandy) опубликовал в своём Twitter-аккаунте сообщение о найденной им уязвимости в «Блокноте» для Windows. Она позволяет злоумышленникам выполнить любой произвольный код на компьютере жертвы.
Am I the first person to pop a shell in notepad? 🤣 ....believe it or not, It's a real bug! 🐞 pic.twitter.com/t2wTh7E93p— Tavis Ormandy (@taviso) 28 мая 2019 г.
По правилам этикета Тэвис Орманди сообщил об обнаруженной дыре в безопасности стандартного текстового редактора в Windows компании Microsoft и дал разработчикам 90 дней на исправление уязвимости — если они этого не сделают, сотрудник Google опубликует все подробности об эксплоите, и тогда им сможет воспользоваться любой киберпреступник. Орманди заявил, что у него уже есть скрипт для эксплуатации дыры в безопасности «Блокнота» (остаётся надеяться, что он сделал его только в целях проверки масштабности данной уязвимости). Сейчас известно лишь то, что в стандартном текстовом редакторе для Windows есть проблемы с повреждением памяти.
Если Microsoft проигнорирует сообщение Тэвиса, интернет-пиратство станет ещё менее безопасным, поскольку в большинстве случаев инструкция ко взлому игр или программ, публикуемых на торрент-трекерах, написана в файле с разрешением .TXT, который по умолчанию открывается в «Блокноте». Иными словами, у злоумышленников появится ещё один способ распространять вирусы под видом взломанных приложений.
