Det finns en ny patch för Windows 10, men den är inte från Microsoft

Buggar är vanliga, och Microsoft brukar ta upp sådana i sin Patch Tuesday. Ändå verkar det som om denna specifika bugg har varit oadresserad ett tag, så att cybersäkerhetsforskare kände ett behov av att släppa en.

Ursprungligen upptäcktes 2020, buggen hade potential att ta formen av en lokal behörighetssårbarhet, men den har förbisetts sedan dess.

Mitja Kolsek, grundaren av 0patch micro patching-tjänsten, ignorerade också sårbarheten eftersom den inte var tillräckligt kritisk vid den tiden.

Upptrappning

För närvarande spåras som CVE-2021-24084, Kolsek beskriver att på en fast Windows-privilegieskaleringssårbarhet spåras som CVE 2021-36934. Under specifika förhållanden kan den ha en godtycklig filavslöjande och uppgraderas för lokal behörighetsupptrappning.

Nasty Windows 10-sårbarhet får en patch, men inte från Microsoft https://t.co/qP19hMUEzk

— ComputerExpertOnline (@PC_ExpertOnline) 29 november 2021

Bugguppgradering

Tillbaka i november, när buggen fortfarande var olappad, påpekade Abdelhamid i sin Twitter att det kan vara en sårbarhet i lokal behörighetseskalering snarare än ett problem med informationsutlämnande.

Kolsek bekräftade senare detta genom att använda en procedur som beskrivs i a blogginlägg av Raj Chandel och förklarar varför behovet uppstod att korrigera felet.

Även om patchen är inofficiell, kommer den att fungera på alla berörda versioner av Windows 10. Vad som är ännu bättre är att det kommer att vara gratis tills Microsoft släpper den officiella fixen.

Har du stött på den otäcka buggen och kommer du att använda den inofficiella patchen? Låt oss veta i kommentarsfältet nedan.