אפס פרויקט גוגל חושף בעיית אבטחה חמורה בחלונות 10
תוכן עניינים:
לפני מספר ימים, צוות Project Zero של גוגל חשף ליקוי אבטחה ב- Microsoft Edge. באג זה מתייחס לשיחת ההליך המרוחק SvcMoveFileInheritSecurity (RPC), שאם מנוצלת יכולה להוביל לקובץ שרירותי שיוקצה מתאר אבטחה שרירותי, מה שעלול להוביל לגובה הרשאות.
מיקרוסופט עומדת בפני נושא אבטחה רציני שנחשף על ידי Project Zero
שיחת ההליך המרוחק עושה שימוש בשיחת הפונקציה MoveFileEx שמעבירה קובץ ליעד חדש. הבעיה מתרחשת כאשר ה- RPC מעביר קובץ מקושר לספרייה חדשה עם ערכי בקרת גישה בירושה (ACE). גם אם הקובץ המקושר אינו מאפשר מחיקה, ניתן להתיר אותו על סמך ההרשאות המסופקות על ידי ספריית הבית החדשה שאליה הועברה.
המשמעות היא שגם אם הקובץ לקריאה בלבד, אם השרת יתקשר ל- SetNamedSecurityInfo בספריית האב, הוא יוכל להקצות לו מתאר אבטחה שרירותי, ובכך עשוי לאפשר למשתמשים אחרים ברשת לשנות אותו. חוקר האבטחה שגילה בעיה זו צירף גם קוד הוכחת מושג ב- C ++, היוצר קובץ טקסט בתיקיית Windows ומנצל לרעה את SvcMoveFileInheritSecurity RPC כדי להחליף את מתאר האבטחה ולאפשר גישה ל כולם.
אנו ממליצים לקרוא את הפוסט שלנו בנושא המעבדים הטובים ביותר בשוק (פברואר 2018)
בהתבסס על הפרטים שהוצגו בדו"ח, התגלה כי מדובר בבעיית אבטחה בדרגת חומרה גבוהה עבור מיקרוסופט ב- 10 בנובמבר 2017, יחד עם סוגיית אבטחה דומה של 1427. המועד הסטנדרטי בן 90 הימים הועמד כדי לפתור את שני הבעיות, אך בהתחשב בחוסר האפשרות, מיקרוסופט ביקשה הארכה עד המועד האחרון ושחררה את הפתרון לכאורה בשבוע שעבר.
עם זאת, בניגוד למה שמיקרוסופט האמינה, הבעיה התוקנה 1427 תוקנה, אולם ניתוח מפורט על ידי חוקר גוגל מוכיח שהבעיה שפורטה לעיל טרם נפתרה. גוגל הודיעה למרכז תגובת האבטחה של מיקרוסופט (MSRC) כי היא מגלה את השגיאה לציבור.
יהיה מעניין לראות אם גילוי זה מזרז את תיקון השגיאה, מכיוון שהוא כיום ידיעה ציבורית, גם עבור בעלי כוונה זדונית.
פרויקט אפס של גוגל מגלה פגם אבטחה בחלונות 10 שניות
אפס פרוייקט של גוגל נתקל באג חומרה בינוני במערכות Windows 10 S עם הפעלת שלמות קוד משתמש (UMCI).
במצב ההגבלה של ה- usb של Apple יש בעיית אבטחה
iOS 11.4.1 מציג אחת מאותן תכונות חדשות שמגיעות מבלי להשמיע רעש רב, אך שהן חשובות למדי. זוהי הפונקציה של ElcomSoft המדווחת כי נראה כי במצב הגבלת USB יש שגיאה המאשרת את הספירה לאחור של שעה אחת כאשר אביזר USB מחובר.
סופת שקט של שרקון אפס מגניב של אפס 750 וו בספרדית (ניתוח מלא)
סקרנו את אספקת החשמל של Sharkoon SilentStorm: תכונות, עיצוב, ביצועים, אישור 80 PLUS ומחיר.