Компания Microsoft до сих пор не исправила уязвимость Windows, которую нашли еще в 2017 году. На это обратило внимание издание ArsTechnica.
Речь идет об уязвимости нулевого дня с идентификатором ZDI-CAN-25373, позже измененным на CVE-2025-9491. На старую проблему не обращали внимания до марта 2025 года, когда о ней рассказали специалисты Trend Micro. Те заметили, что хакеры знают о системной бреши по меньшей мере с 2017 года, то есть Microsoft не может уже восемь лет исправить уязвимость.
CVE-2025-9491 связана с компонентом операционной системы (ОС), который ускоряет открытие приложений и упрощает доступ к файлам. Причем уязвимость активно эксплуатируется: недавно специалисты по безопасности Arctic Wolf узнали, что проблему используют хакеры, предположительно, находящиеся в Китае.
По словам экспертов, хотя Microsoft еще не устранила уязвимость, от нее можно защититься. Для этого нужно через настройки ограничить использование файлов формата .lnk, скачанных из неизвестных источников.
В заключение журналисты ArsTechnica отметили, что уязвимость используют для атак на различные объекты инфраструктуры. Среди пострадавших — организации из США, Канады, России, Южной Кореи и еще около 60 стран.
В конце октября в Windows исправили ошибку, из-за которой ОС не выключала персональный компьютер после обновления.