Google projesi sıfır, Windows 10'da ciddi bir güvenlik sorununu ortaya çıkarır
İçindekiler:
Birkaç gün önce Google'ın Project Zero ekibi Microsoft Edge'de bir güvenlik açığı ortaya çıkardı. Bu hata , SvcMoveFileInheritSecurity uzaktan yordam çağrısı (RPC) ile ilgilidir; bu, istismar edildiğinde , ayrıcalık yükselmesine neden olabilecek rasgele bir güvenlik tanımlayıcısı atanmasına neden olabilir.
Microsoft, Project Zero tarafından ortaya çıkarılan ciddi güvenlik sorunuyla karşı karşıya
Uzak yordam çağrısı, dosyayı yeni bir hedefe taşıyan MoveFileEx işlev çağrısını kullanır. RPC bağlantılı dosyayı devralınabilir erişim denetim girdileri (ACE) olan yeni bir dizine taşıdığında sorun oluşur. Bağlantılı dosya silinmeye izin vermese bile, taşındığı yeni giriş dizini tarafından sağlanan izinlere göre izin verilebilir.
Bu , dosya salt okunur olsa bile, sunucu üst dizinde SetNamedSecurityInfo öğesini çağırıyorsa, dosyaya rasgele bir güvenlik tanımlayıcısı atayabileceği ve ağdaki diğer kullanıcıların dosyayı değiştirmesine izin verebileceği anlamına gelir. Bu sorunu keşfeden güvenlik araştırmacısı, Windows klasöründe bir metin dosyası oluşturan ve güvenlik tanımlayıcısının üzerine yazmak ve erişime izin vermek için SvcMoveFileInheritSecurity RPC'yi kötüye kullanan C ++ 'da bir kavram kodu kanıtı ekledi. tüm.
Piyasadaki en iyi işlemciler hakkındaki yazımızı okumanızı öneririz (Şubat 2018)
Raporda sunulan ayrıntılara dayanarak, benzer bir 1427 güvenlik sorunu ile birlikte 10 Kasım 2017'de Microsoft için yüksek düzeyde bir güvenlik sorunu olduğu ortaya çıktı. 90 günlük standart son tarih her iki sorunu da çözmek için sağlandı, ancak imkansızlığı göz önüne alındığında, Microsoft son başvuru tarihinin uzatılmasını istedi ve iddia edilen çözümü geçen hafta yayınladı.
Bununla birlikte, Microsoft'un düşündüğünün aksine, yama 1427 sorununu düzeltti, ancak Google araştırmacısı tarafından yapılan ayrıntılı analiz, yukarıda ayrıntıları verilen sorunun henüz çözülmediğini kanıtlıyor. Google, Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) hatanın herkese görünür hale getirildiğini bildirmiştir.
Bu vahiyin hatanın düzeltilmesini hızlandırıp hızlandırmayacağını görmek ilginç olacak, çünkü şimdi kamuya açık bilgi, kötü niyetli niyetli olanlar için bile.
Google projesi sıfır, Windows 10 s'de bir güvenlik açığı keşfediyor
Google Project Zero, Kullanıcı Modu Kod Bütünlüğü (UMCI) etkinleştirilmiş Windows 10 S sistemlerinde orta düzeyde bir hata ile karşılaştı.
Google Chrome'daki bir güvenlik açığı kablosuz ağları ortaya çıkarır
Google Chrome'daki bir güvenlik açığı WiFi ağlarını açığa çıkarır. Ağda erişime izin veren tarayıcıda bu hata hakkında daha fazla bilgi edinin.
İnstagramdaki güvenlik açığı kullanıcı verilerini ortaya çıkarır
Instagram'daki bir güvenlik açığı kullanıcı verilerini ortaya çıkarır. Sosyal ağdaki güvenlik açığı hakkında daha fazla bilgi edinin.
