Информация об обнаруженных недостатках передаётся разработчикам, у которых есть 90 дней для устранения проблемы. Команда Google Project Zero занимается поиском уязвимостей как в продуктах компании Google, так и в продуктах, разрабатываемых другими компаниями. В особых случаях, если ошибку сложно исправить, команда предоставляет разработчикам дополнительное время на решение. Если исправление не выпускается за указанный срок, то информация об уязвимости публикуется в открытом доступе.
Теперь же команда исследователей опубликовала сведения об обнаруженной бреши в безопасности на системах с включённым режимом UMCI. Согласно этим правилам, компания Google за последние месяцы раскрыла информацию о нескольких уязвимостях, в том числе в Windows 10 и Microsoft Edge. Стоит отметить, что Microsoft неоднократно просила повременить с публикацией информации об уязвимости, однако Google Project Zero всё равно раскрыл информацию общественности. В качестве примера использовалась операционная система Windows 10 S (там этот режим включён по умолчанию).
Но команда Google Project Zero обнаружила недостаток, который позволяет выполнять произвольный код на системах с включённым режимом UMCI, например, Device Guard (включён по умолчанию в Windows 10 S). Windows 10 S — безопасная операционная система Microsoft, в которой есть множество ограничений, включая невозможность запуска Win32-приложений.
Чтобы злоумышленник смог редактировать записи реестра, на атакуемом устройстве уже должен быть запущен вредоносный код. Важно отметить, что уязвимость присутствует только на системах с включённым Device Guard и её нельзя использовать удалённо. Исследователи Google признают, что проблема не является серьёзной, если исправлены другие возможные способы обхода, например, удалённое выполнение кода в Edge.
Microsoft попросила у Google дополнительные 14 дней, пообещав выпустить исправление вместе с майскими обновлениями для операционных систем. Отмечается, что компания Google оповестила Microsoft об уязвимости ещё 19 января, однако в апрельских накопительных обновлениях проблема устранена не была. Google отклонила этот запрос и опубликовала информацию спустя 90 дней после отправки сведений в Microsoft.