Η Google αποκαλύπτει και δημοσιεύει unpatched ευπάθεια των Windows

Ένας ερευνητής ασφαλείας της Google ανακάλυψε ένα σφάλμα που δίνει επιπλέον δικαιώματα σε απλούς λογαριασμούς των Windows. Μετά από 90 ημέρες αναμονής και μη αντίδρασης από την Microsoft, ο ερευνητής δημοσιοποίησε την ευπάθεια.windows security

Ας δούμε τα πράγματα από την αρχή, ο ερευνητής της Google που ονομάζεται Forshaw ανακάλυψε και αποκάλυψε ένα σφάλμα κλιμάκωση προνομίων στα Windοws.

Ήρθε σε επαφή τόσο με τη Microsoft όσο και με την Google ενημερώνοντας τις εταιρείες για την ευπάθεια. Ο Forshaw στην ενημέρωση του συμπεριελάμβανε και μια επίδειξη του κενού ασφαλείας (). Αναφέρει δε ότι έχει δοκιμάσει μόνο σε ένα σύστημα με ενημερωμένα Windοws 8.1 και ότι δεν είναι σαφές εάν παλαιότερες εκδόσεις, όπως τα Windοws 7 είναι ευάλωτες.

Η ευπάθεια εντοπίστηκε στη AhcVerifyAdminContext. Είναι μια εσωτερική λειτουργία και όχι ένα API, για αναζητήσεις στη microsoft.com.

Η απόδειξη της ευπάθειας (PoC) περιλαμβάνει δύο του προγράμματος και μια σειρά από οδηγίες για την του. Το αποτέλεσμα είναι ότι η αριθμομηχανή των Windows τρέχει με δικαιώματα διαχειριστή. Ο Forshaw δήλωσε ότι το σφάλμα δεν είναι από το UAC, αλλά ότι το UAC ται εν μέρει για να αποδείξει το σφάλμα.

Forshaw δημοσίευσε την αποκάλυψη του ιδιωτικά στις 30 Σεπτεμβρίου. Στο τέλος της δημοσίευσης δήλωσε: “Αυτό το σφάλμα υπόκειται σε μια προθεσμία γνωστοποίησης 90 ημερών. Εάν παρέλθουν 90 ημέρες χωρίς να υπάρχει ευρέως διαθέσιμη ενημερωμένη του κώδικα, τότε η αναφορά σφάλματος θα γίνει αυτόματα ορατή στο κοινό.”

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).