Microsoft nesen izlaida a jauns Windows 10 funkciju atjauninājums. Acīmredzot uzņēmums ignorēja lielu drošības kļūdu, kas pastāvēja operētājsistēmā Windows 10.
Trūkums tika pamanīts progresīvā Uzdevumu plānotājs iestatījumi. Šī ievainojamība ļauj hakeriem iegūt pilnīgas administratīvās privilēģijas attiecībā uz jūsu failiem.
Pētnieks nosaukts SmilškasteEscaper vispirms pamanīja ievainojamību un ievietoja to tiešsaistē. Pētnieks to aizveda uz Github un izlika nulles dienas ievainojamību uz platformas.
Jau tagad, Microsoft neatzina drošības trūkums ietvaros Uzdevumu plānotājs. Kad uzņēmums atzīst kļūdu, a drošības plāksteris būs pieejams ļoti drīz.
Pārsteidzoši, a Twitter lietotājs atklāja nulles diena ievainojamība ir vērsta uz tiem Windows 10 sistēma, kas nesen instalēja Windows 10 v1903. Turklāt lietotājs paziņoja, ka ikviens var viegli izmantot ievainojamību.
Es varu apstiprināt, ka tas darbojas pilnībā aizlāpītā (2019. gada maijs) Windows 10 x86 sistēmā. Failu, kuru iepriekš pilnībā kontrolēja tikai SYSTEM un TrustedInstaller, tagad pilnībā kontrolē ierobežots Windows lietotājs.
Darbojas ātri un 100% gadījumu manā testēšanā. pic.twitter.com/5C73UzRqQk- Will Dormann (@wdormann) 2019. gada 21. maijs
SandboxEscaper arī izlaida video, lai demonstrētu koncepcijas pierādīšanas (POC) uzbrukums.
SandboxEscaper tikko izlaida šo videoklipu, kā arī POC Windows 10 privātajai esc pic.twitter.com/IZZzVFOBZc
- Čeiss Dardamans (@CharlesDardaman) 2019. gada 21. maijs
Īpaši pētnieks apgalvo, ka identificē 4 papildu kļūdas Windows 10 OS. Viena no šīm ievainojamībām ļauj izmantotājam apiet smilšu kastes drošība. Microsoft ir jārīkojas ātri un jānovērš šī ievainojamība, pirms tā nodara nopietnu kaitējumu.
SandboxEscaper iepriekš pamanīja vairākas nulles dienas ievainojamības. Tomēr lietotājs nekad nav informējis Microsoft par problēmām pirms to atbrīvošanas.
Reddit lietotāji vēlējās, lai viņa vispirms paziņo Microsoft par šiem jautājumiem.
Biedējoši! Vai ir kāds iemesls, kāpēc viņa to publiski izlaida? Vēlos, lai viņa vismaz paziņo Microsoft un dod viņiem iespēju. Vismaz šie ir tikai LPE.
Paredzams, ka attiecībā uz neseno ievainojamību Microsoft izlaidīs nepieciešamos ielāpus Plāksteris otrdien.
SAISTĪTIE RAKSTI, KAS JUMS PĀRBAUDA:
- Vēl viena Kaspersky atrastā Windows nulles dienas ievainojamība
- 5 no labākajiem antivīrusiem ar vietņu bloķētāju / tīmekļa filtrēšanu
