neprihlásený Utorok, 26. januára 2021, dnes má meniny Tamara
Google opäť zverejnil neopravenú zraniteľnosť vo Windows

Značky: bezpečnosťWindowsMicrosoftGoogle

DSL.sk, 2.11.2020


Spoločnosť Google opäť podobne ako viackrát v minulosti zverejnila detaily zatiaľ neopravenej tzv. 0-day bezpečnostnej zraniteľnosti vo Windows po tom, ako ju Microsoft neopravil do lehoty danej Googlom.

Google má svoj vlastný bezpečnostný tím Google Project Zero hľadajúci bezpečnostné chyby aj v produktoch iných spoločností a následne ich nahlasujúci tvorcom. Po nahlásení dáva tvorcom štandardne 90 dní na opravenie chýb a pokiaľ nie sú opravené do tohto termínu, aj tak o nich zverejní kompletné informácie.

Aktuálna zraniteľnosť CVE-2020-17087 je ale zneužívaná v útokoch a Google dal Microsoftu na opravenie sedem dní. Keď spoločnosť zraniteľnosť neopravila, Google zverejnil aj detailné informácie o zraniteľnosti vrátane proof-of-concept kódu.

Zraniteľnosť sa nachádza vo Windows Kernel Cryptography Driver, cng.sys, a umožňuje zvýšenie oprávnení vrátane napríklad úniku zo sandboxu.

Zraniteľnosť je podľa dostupných informácií zneužívaná v útokoch spolu so zraniteľnosťou CVE-2020-15999 v Chrome, práve na únik zo sandboxu využívaného prehliadačom.

Podľa Google sa zraniteľnosť nachádza vo verziách Windows minimálne od Windows 7 po aktuálnu verziu Windows 10. Google očakáva opravenie zraniteľnosti budúci utorok 10. novembra v rámci pravidelných bezpečnostných aktualizácií Microsoftu.


      Zdieľaj na Twitteri



Najnovšie články:

Nový Firefox odstránil podporu Flashu a chráni proti supercookies
Trailer druhej série Apple seriálu o alternatívnom priebehu dobývania vesmíru
Apple čelí v Európe žalobám za plánované zastarávanie iPhonov
Tesle sa podľa Google nepodarí vylepšiť jej samojazdiacu technológiu na plne autonómnu
Predstavený minipočítač postavený na RISC-V procesore
Štát bude opäť rozdávať dotácie na obnoviteľné zdroje v domácnostiach
EÚ si objednala Galileo satelity druhej generácie
Spustené dodávky prvého HAMR disku
SpaceX dnes vynesie rekordný počet satelitov, video
Apple chystá tenší, ľahší a výkonnejší MacBook Air s ARM


Diskusia:
                               
 

To by si mali vydiskutovat za zatvorenymi dverami niekde v ustrani a nie sa verejne prekarat. Tymto nahravaju hackerom, ktori pasu po takych informaciach. Take velke firmy by si nemali robit doprieku. Na to moze doplatit jedine zakaznik windows a chrome.
Odpovedať Známka: -6.1 Hodnotiť:
 

strategia a postupy su sice moralne diskutabilne, ale kazdemu ide o to iste: aby sa to co najskor opravilo,

na druhej strane plati zakladne a svate pravidlo: ak o tom nikto nevie a nikto o tom nehovori, logicky nikto to nezneuziva
(ale zase nikto to 20 rokov neopravi)
(ale zase neiu je potreba lebo o tom nikto nevie a nikto to nezneuziva)

atd stale dokola

Odpovedať Známka: -3.3 Hodnotiť:
 

"ak o tom nikto nevie a nikto o tom nehovori, logicky nikto to nezneuziva" - Ako vieš, že túto zraniteľnosť doteraz nikto nezneužíval?
Odpovedať Známka: 10.0 Hodnotiť:
 

A) nemyslel som konkretne tuto
B) mohla byt zname niekomu inemu okrem mikrosrotu a guugelu
C) len konstatujem ze logika vo vseobecnosti hovori ze ak o tom nikto nevie (z 7,8 miliard ludi), logicky nikto to nezneuziva

Odpovedať Známka: -5.0 Hodnotiť:
 

Reakciu na vyjadrenie, výsledkom ktorého je nevyhnutnosť telepatie, zvládne priekazne plnohodnotne nahradiť i jedno jebnutie lopatou po hlave.
Odpovedať Známka: -0.9 Hodnotiť:
 

Hovadina svet funguje inak. Tu sa platia milióny dolárov za backdoory a zraniteľnosti. Treba predpokladať že každú zraniteľnosť niekto už dávno zneužíva ! Preto je vhodne vytvoriť takýto nátlak aby sa opravila.
Odpovedať Známka: 10.0 Hodnotiť:
 

svet moze fungovat AKOKOLVEK a na baze vyhladavanych a predavenych/platenych backdoorov
elementarnu logiku ale neojebes, nech robis cokolvek
(t.j. ak o tom nikto nevie, nikto to nemoze zneuzivat)

Odpovedať Známka: -2.0 Hodnotiť:
 

z toho ale implicitne nevyplyva spravnost myslienky ze treba predpokladat, ze kazdu zranitelsnot uz niekto pozna (a teda moze vyuzivat)

velke zdrojove kody maju 20-30 milionov riadkov, vies si ty vobec predstavit pocet kombinacii co vsetko v takom kode moze byt pozmenene? vies si ty predstavit velksot maximalnej teoreticky moznej mnoziny vsetkych zranitelnosti? predpokladat ze kazdu teoreticky moznu zranitelnost uz niekto pozna, je uplne mimo
Odpovedať Známka: -3.3 Hodnotiť:
 

To je práveže ešte stále tu. Až faktická argumentácia na základe štatistickej pravdepodobnosti je priekazne mimo.
Odpovedať Známka: 0.0 Hodnotiť:
 

elementarna logika: ak chce niekto ksetovat s nejakou konkretnou zranitelnostou, najprv musi vediet ze vobec ta zranitelnost existuje (nemusi ju vedeit vyuzit), ale musi vediet ze existuje
Odpovedať Známka: -5.0 Hodnotiť:
 

elementarna logika: ked v clanku uviedli, ze tato zranitelnost sa zneuziva, vyplyva z toho ze Google presne zistil ako sa podarilo utocnikom obist sandbox Chrome a navysit uroven opravneni. elementarna logika: hodinu v kuse tu spamujes kydy postavene na tzv. slippery slope argumentacnom faile.
Odpovedať Známka: 5.0 Hodnotiť:
 

bohuzail, ani profesor elementarnej logiky to nepochopil

nuz...stava sa
Odpovedať Hodnotiť:
 

Okrem toho si ale pisal aj hluposti typicke z pohladu elementarnej logiky.

Nech ma aj kvadrilion riadkov kodu, programovanie nema byt pisanie biblie, ktora si v kazdom useku odporuje. Technologicky softverovy gigant plny inzinierov, ktori nie su schopni opravit ZNAMU chybu (niektore nedokazal ani za 90 dni), by sa prave mali zamysliet nad strukturou kodu.
Odpovedať Hodnotiť:
 

v clanku je napisane: "Zraniteľnosť JE podľa dostupných informácií zneužívaná v útokoch spolu so zraniteľnosťou CVE-2020-15999 v Chrome, práve na únik zo sandboxu využívaného prehliadačom."

cela tvrdenie "nikto nevie.." je tym padom neplatne..

zrejme si chcel povedat, ze vacsina amaterskych hackerov o tom nevie a tym padom to nevedia zneuzit. Je na zamyslenie, do akej miery "utajenie" pred Script Kiddies vyrazne prispeje k security.
Odpovedať Hodnotiť:
 

Tak dôležitú vec, ako zraniteľnosť OS je v dnešnej dobe nutné vedieť opraviť rýchlo. Jasné, že v tak zložitom projekte ako je Win je to náročné, ale podľa mňa je takýto nátlak jediným riešením. Lebo inak by sme stále len od MS počúvali ako sa to nedá.
Odpovedať Hodnotiť:
 

hackery vyuzivaju iny kopec zranitelnosti, na ktorych zarabaju o moc viac ako pripadna odmena od spolocnosti.
Odpovedať Hodnotiť:
 

Ale ved o tom to je, keby to vydiskutovali za zatvorenymi dverami, Microsoft by nikdy tieto zranitelnosti neopravoval, neboli by priorita, presne kvoli tomu, ze nikto o nich nemusi vediet. Takto o nich vedia vsetci, vedia, ako to pouzit a zneuzit a Microsoft prakticky nema inu monoznost, ako to prioritizovat a opravit to co najskor. Podla mna velmi dobra strategia.
Odpovedať Hodnotiť:
 

Zranitelnost je uz in the wild, takze je pochopitelne ze ju zverejnili, potom co MS este nevyriesil zaplatu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Keby zamestnali Kalinaka, ten by im vysvetlil, ze kto nerobi nic zle, nemusi nic skryvat. A cely biznis s vulnerabilitami by tym raz a navzdy skrachoval. Lebo korupcia na najvyssich miestach nie je.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár