מיקרוסופט פרסמה לאחרונה א עדכון תכונות חדש של Windows 10. ככל הנראה, החברה התעלמה מליקוי אבטחה גדול שהיה קיים ב- Windows 10.
הפגם זוהה במתקדמים מתזמן משימות הגדרות. פגיעות זו מאפשרת להאקרים לקבל הרשאות ניהול מלאות על הקבצים שלך.
חוקר בשם SandboxEscaper תחילה הבחין בפגיעות ופרסם אותה ברשת. החוקר לקח אותו לגיתוב ו פרסם את הפגיעות באפס יום על הרציף.
נכון לעכשיו, מיקרוסופט לא הכיר ב פגם ביטחוני בתוך ה מתזמן משימות. ברגע שהחברה מכירה באג, א תיקון אבטחה יהיה זמין בקרוב מאוד.
באופן מפתיע, א טוויטר המשתמש חשף את יום אפס פגיעות מכוונת לאלה מערכת Windows 10 שהתקינה לאחרונה את Windows 10 v1903. יתר על כן, המשתמש הצהיר כי כל אחד יכול לנצל את הפגיעות בקלות.
אני יכול לאשר שזה עובד כפי שהוא במערכת Windows 10 x86 עם תיקון מלא (מאי 2019). קובץ שנמצא בשליטה מלאה בלבד על ידי SYSTEM בלבד ו- TrustedInstaller נמצא כעת בשליטה מלאה של משתמש Windows מוגבל.
עובד במהירות וב 100% מהזמן בבדיקות שלי. pic.twitter.com/5C73UzRqQk- וויל דורמן (@wdormann) 21 במאי 2019
SandboxEscaper פרסמה גם סרטון כדי להדגים את התקף הוכחה-מושג (POC).
SandboxEscaper פרסמה זה עתה את הסרטון הזה, כמו גם את ה- POC עבור פרטיות של Windows 10 pic.twitter.com/IZZzVFOBZc
- צ'ייס דרדמן (@ CharlesDardaman) 21 במאי 2019
יש לציין כי החוקר טוען כי הוא מזדהה 4 פגמים נוספים במערכת ההפעלה Windows 10. אחת הפגיעות הללו מאפשרת למנצל לעקוף האבטחה של ארגז החול. מיקרוסופט צריכה לפעול במהירות ולתקן את הפגיעות לפני שהיא תגרום נזק חמור.
SandboxEscaper הבחין בעבר בכמה נקודות תורפה באפס יום. עם זאת, המשתמש מעולם לא הודיע למיקרוסופט על הבעיות לפני ששחרר אותן.
משתמשי Reddit רצה שהיא תודיע לראשונה למיקרוסופט על הבעיות.
מַפְחִיד! יש סיבה שהיא שחררה את זה בפומבי? הלוואי שהיא תודיע לפחות למיקרוסופט ותיתן לה הזדמנות. לפחות אלה רק LPEs.
בכל הנוגע לפגיעות האחרונות, מיקרוסופט צפויה לשחרר את התיקונים הדרושים תיקון יום שלישי.
פריטים קשורים שאתה צריך לבדוק:
- עוד פגיעות של יום אפס של Windows שנמצאה על ידי קספרסקי
- 5 מהאנטי-וירוסים הטובים ביותר עם חוסם אתרים / סינון אתרים
