Check Point Research (CPR) обнаружила уязвимость в компоненте ядра Windows, написанном на языке Rust, связанную с метафайлами EMF/EMF+. Уязвимость была исправлена в сборке ОС 26100.4202 от 2025-05-28.
Overview of the Windows kernel vulnerability in Rust
Тестирование и результат
CPR проводила кампания фаззинга, нацеленная на метафайлы формата EMF/EMF+, что позволило выявить системные сбои. Изучение дампов памяти позволило уменьшить время воспроизведения ошибки до 30 минут с помощью 836 файлов в корпусе.
Исправление от Microsoft
Компания Microsoft восприняла уязвимость как умеренной степени серьезности и выпустила обновление в мае 2025 года. Исправление состояло в изменении функции region_from_path_mut() в win32kbase_rs.sys (версии 4202). Новая версия достигла глобального распространения к концу июня 2025 года.
Последствия и выводы
Уязвимость в Rust-ядре подчеркнула, что выбор языка не устраняет необходимость в тщательном тестировании безопасности. Для снижения рисков будущих атак необходимо продолжать строгую проверку новых компонентов ядра, несмотря на переход на языки с защитой памяти.
