Googlov projekt nič ne odkrije resne varnostne težave v operacijskem sistemu Windows 10
Kazalo:
Pred nekaj dnevi je Googlova projekt Project Zero razkrila varnostno napako v programu Microsoft Edge. Ta napaka se nanaša na oddaljeni postopek klica SvcMoveFileInheritSecurity (RPC), ki lahko, če se izkoristi, poljubni datoteki dodeli poljuben deskriptor varnosti, kar lahko privede do privilegijev.
Microsoft se sooča z resno varnostno težavo, ki jo je odkril Project Zero
Oddaljeni klic postopka uporablja klic funkcije MoveFileEx, ki datoteko premakne na nov cilj. Do težave pride, ko RPC premakne povezano datoteko v nov imenik, ki ima podedovane vnose nadzora dostopa (ACE). Tudi če povezana datoteka ne omogoča brisanja, jo je mogoče dovoliti na podlagi dovoljenj novega domačega imenika, v katerega je bila premaknjena.
To pomeni, da bo tudi, če bo datoteka samo za branje, če strežnik v nadrejenem imeniku pokliče SetNamedSecurityInfo, ji lahko dodelil poljuben varnostni deskriptor, kar lahko drugim uporabnikom v omrežju omogoči spreminjanje. Varnostni raziskovalec, ki je odkril to težavo, je v C ++ priložil tudi kodo s potrdilom koncepta, ki ustvari besedilno datoteko v mapi Windows in zlorabi RPC SvcMoveFileInheritSecurity, da prepiše varnostni deskriptor in omogoči dostop do vsi.
Priporočamo, da preberete našo objavo o Najboljših procesorjih na trgu (februar 2018)
Glede na podrobnosti, predstavljene v poročilu, se je 10. novembra 2017 za Microsoft izkazalo, da gre za visoko resno varnostno težavo, skupaj s podobno varnostno številko 1427. Za reševanje obeh vprašanj je bil zagotovljen 90-dnevni standardni rok, vendar je zaradi nezmožnosti Microsoft zahteval podaljšanje roka in prejšnji teden izdal domnevno rešitev.
Vendar je v nasprotju s tem, kar Microsoft morda verjame, napaka popravila težavo 1427, vendar podrobna analiza Googlovega raziskovalca dokazuje, da zgoraj opisana težava še ni bila rešena. Google je obvestil Microsoftov varnostni odzivni center (MSRC), da napako dela vidno javnosti.
Zanimivo bo videti, ali to razkritje pospeši odpravo napake, saj je to zdaj javno znano, tudi za tiste z zlonamernimi nameni.
Kako odkriti varnostne težave v operacijskem sistemu Windows
Kako odkriti varnostne težave v sistemu Windows. Odkrijte preprost način za preverjanje stabilnosti in varnosti v sistemu Windows.
Googlov nič projekt odkrije varnostno napako v operacijskem sistemu Windows 10 s
Google Project Zero je naletel na napako srednje resnosti v sistemih Windows 10 S, pri čemer je omogočena celovitost uporabniškega koda (UMCI).
83% usmerjevalnikov vsebuje resne varnostne težave
Ameriški potrošnik je objavil članek z več kot 186 različnimi blagovnimi znamkami in vrstami usmerjevalnikov, 155 od njih je imelo težave z varnostjo.