- En uofficiel fejlrettelse til Windows 10 er i omløb.
- Fejlen blev første gang rapporteret i oktober 2020, og forskere spekulerede i, at den kunne tage form af en lokal privilegie-sårbarhed.
- Microsoft har endnu ikke rettet fejlen og derfor den uofficielle udgivelse af patchen.
Bugs er almindelige, og Microsoft adresserer normalt sådanne i deres Patch Tuesday. Alligevel ser det ud til, at denne særlige fejl har været uadresseret i et stykke tid, så cybersikkerhedsforskere følte behovet for at frigive en.
Oprindeligt opdaget i 2020, havde fejlen potentialet til at tage form af en lokal privilegie-sårbarhed, men den er blevet overset siden da.
Mitja Kolsek, grundlæggeren af 0patch micro patching-tjenesten, ignorerede også sårbarheden, da den ikke var kritisk nok på det tidspunkt.
Eskalering
I øjeblikket spores som CVE-2021-24084, Kolsek beskriver, at på en fast Windows-privilegieeskaleringssårbarhed sporet som CVE 2021-36934. Under specifikke forhold kan den have en vilkårlig filafsløring og blive opgraderet til lokal rettighedseskalering.
Nasty Windows 10-sårbarhed får en patch, men ikke fra Microsoft https://t.co/qP19hMUEzk
— ComputerExpertOnline (@PC_ExpertOnline) 29. november 2021
Fejlopgradering
Tilbage i november, hvor fejlen stadig ikke var rettet, påpegede Abdelhamid i sit Twitter at det kunne være en lokal eskaleringssårbarhed i stedet for et problem med afsløring af oplysninger.
Kolsek bekræftede senere dette ved at bruge en procedure skitseret i en blogindlæg af Raj Chandel og forklarer, hvorfor behovet opstod for at rette fejlen.
Selvom patchen er uofficiel, vil den virke på alle berørte versioner af Windows 10. Hvad der er endnu bedre er, at det vil være gratis indtil det tidspunkt, hvor Microsoft frigiver den officielle rettelse.
Har du stødt på den grimme fejl, og vil du bruge den uofficielle patch? Fortæl os det i kommentarfeltet nedenfor.
