Команда безопасности Google Project Zero раскрыла подробности об уязвимости в Windows 11, которую, по их словам, Microsoft устранила не в полной мере.
Проблема связана с ошибкой повышения прав доступа (EoP). Это было обнаружено в предварительных сборках Windows 11, доступных участникам программы Insider.
Исследователь Project Zero Джеймс Форшоу пояснил, что проблема связана с экспериментальной функцией защиты администратора. Цель этой функции — повышение привилегий только при необходимости, например, с помощью Windows Hello и изолированного административного токена. Однако эксперт обнаружил, что процессы с минимальными разрешениями могут получить права администратора и получить доступ к пользовательскому интерфейсу.
Microsoft была проинформирована о проблеме ещё 8 августа. Впоследствии, 12 ноября, компания выпустила исправление, присвоив уязвимости идентификатор CVE-2025-60718. Тем не менее, по словам Форшоу, исправление не является всеобъемлющим и не устраняет ошибку полностью, что приводит к раскрытию информации.
Недостаток не классифицируется как критический. Для этого требуется физический доступ к устройству, а функция защиты администратора ещё не получила широкого распространения и должна включаться вручную в некоторых внутренних сборках.