C'è una nuova patch per Windows 10, ma non è di Microsoft

I bug sono comuni e Microsoft di solito li risolve nel Patch Tuesday. Tuttavia, sembra che questo particolare bug non sia stato affrontato per un po', tanto che i ricercatori della sicurezza informatica hanno sentito il bisogno di rilasciarne uno.

Scoperto originariamente nel 2020, il bug aveva il potenziale per assumere la forma di una vulnerabilità del privilegio locale, ma da allora è stato trascurato.

Anche Mitja Kolsek, il fondatore del servizio di micro patch 0patch, ha ignorato la vulnerabilità poiché non era abbastanza critica in quel momento.

Escalation

Attualmente tracciato come CVE-2021-24084, Kolsek spiega che su una vulnerabilità fissa di escalation dei privilegi di Windows tracciata come CVE 2021-36934. In condizioni specifiche, può avere una divulgazione di file arbitraria ed essere aggiornato per l'escalation dei privilegi locali.

La brutta vulnerabilità di Windows 10 riceve una patch, ma non da Microsoft https://t.co/qP19hMUEzk

— ComputerExpertOnline (@PC_ExpertOnline) 29 novembre 2021

Aggiornamento bug

A novembre, quando il bug non era ancora stato corretto, Abdelhamid ha sottolineato nel suo Twitter che potrebbe essere una vulnerabilità di escalation dei privilegi locali piuttosto che un problema di divulgazione di informazioni.

Kolsek in seguito confermò ciò utilizzando una procedura delineata in a post sul blog di Raj Chandel e spiega perché è nata la necessità di correggere il bug.

Sebbene la patch non sia ufficiale, funzionerà su tutte le versioni interessate di Windows 10. Ciò che è ancora meglio è che sarà gratuito fino a quando Microsoft non rilascerà la correzione ufficiale.

Hai riscontrato il brutto bug e utilizzerai la patch non ufficiale? Fatecelo sapere nella sezione commenti qui sotto.