Η Google αποκαλύπτει και δημοσιεύει unpatched ευπάθεια των Windows

Ένας ερευνητής ασφαλείας της ανακάλυψε ένα σφάλμα που δίνει επιπλέον δικαιώματα σε απλούς λογαριασμούς των Windows. Μετά από 90 ημέρες αναμονής και μη αντίδρασης από την Microsoft, ο ερευνητής δημοσιοποίησε την ευπάθεια.windows security

Ας δούμε τα πράγματα από την αρχή, ο ερευνητής της Google που ονομάζεται Forshaw ανακάλυψε και αποκάλυψε ένα σφάλμα κλιμάκωση προνομίων στα Windοws.

Ήρθε σε επαφή τόσο με τη Microsoft όσο και με την Google ενημερώνοντας τις εταιρείες για την ευπάθεια. Ο Forshaw στην του συμπεριελάμβανε και μια επίδειξη του κενού ασφαλείας (POC). Αναφέρει δε ότι έχει δοκιμάσει μόνο σε ένα με ενημερωμένα Windοws 8.1 και ότι δεν είναι σαφές εάν παλαιότερες εκδόσεις, όπως τα Windοws 7 είναι ευάλωτες.

Η ευπάθεια εντοπίστηκε στη λειτουργία AhcVerifyAdminContext. Είναι μια εσωτερική λειτουργία και όχι ένα public API, για αναζητήσεις στη microsoft.com.

Η απόδειξη της ευπάθειας (PoC) περιλαμβάνει δύο αρχεία του προγράμματος και μια σειρά από οδηγίες για την εκτέλεση του. Το αποτέλεσμα είναι ότι η τρέχει με δικαιώματα διαχειριστή. Ο Forshaw δήλωσε ότι το σφάλμα δεν είναι από το UAC, αλλά ότι το UAC χρησιμοποιείται εν μέρει για να αποδείξει το σφάλμα.

Forshaw δημοσίευσε την αποκάλυψη του ιδιωτικά στις 30 Σεπτεμβρίου. Στο τέλος της δημοσίευσης δήλωσε: “Αυτό το σφάλμα υπόκειται σε μια προθεσμία γνωστοποίησης 90 ημερών. Εάν παρέλθουν 90 ημέρες χωρίς να υπάρχει ευρέως διαθέσιμη ενημερωμένη έκδοση του κώδικα, τότε η αναφορά σφάλματος θα γίνει αυτόματα ορατή στο κοινό.”

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).