___

​​ Microsoft закрывают 2020 год на минорной ноте, подтверждая уровень своего раздолбайства и умение из каждого фикса старой проблемы сделать проблему новую. В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления. Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе. Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft , которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой. А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе. Microsoft и 0-day уязвимости. Эта музыка будет вечной.