Microsoft выпустила экстренное обновление безопасности, которое закрывает серьезную уязвимость, существовавшую в операционных системах со времен Windows 95. Ошибка, допущенная программистами компании в 1995 году, присутствует во всех актуальных версиях настольной платформы Microsoft.
Уязвимость связана с реализацией протоколов шифрования для передачи данных через Интернет. Ее обнаружили в Secure Channel — пакете безопасности, который задействует протоколы SSL и TLS, обеспечивающие безопасное соединение между клиентом и сервером. Schannel, в частности, пользуется браузер Internet Explorer.
Ошибку, получившую неофициальное название WinShock, первой нашла команда IBM. Она сообщила о ней Microsoft в мае, а патч был выпущен только сейчас. По словам исследователей, уязвимость существует со времен Windows 95, если не раньше. Ею могли пользоваться хакеры в течение без малого 20 лет, дистанционно запуская вредоносный код.
«Уязвимость может быть использована хакерами для осуществления скрытых атак — через удаленный запуск кода они овладевают контролем над ПК пользователя», — написал в блоге один из исследователей Роберт Фриман.
Свидетельств того, что найденная IBM уязвимость эксплуатируется, не обнаружено, однако ей присвоен рейтинг в 9,7 балла из 10.
Всего в пакет входит 14 исправлений ошибок, включая четыре со статусом «критическая». Устанавливать обновления рекомендуется всем пользоваться Windows, включая Windows 8.1, Windows 7, Windows Vista и серверных операционных систем. Уязвимой останется лишь Windows XP, поддержка которой была прекращена весной 2014 года.