Teknologier

Google afslører Windows 10 S-sikkerhedsfejl på trods af Microsofts indvendinger

Google afslører Windows 10 S-sikkerhedsfejl på trods af Microsofts indvendinger

Googles Project Zero (GPZ) forskere stod bag opdagelsen af ​​Meltdown og Spectre sårbarheder i en lang række processorer tidligere på året. Nu har de meddelt, at Microsofts Windows 10 S lider under en 'middel sværhedsgrad' udnyttelse, der potentielt kan give brugerne mulighed for at køre vilkårlig kode for at jailbreak, hvad der i det væsentlige er et låst operativsystem. Der synes ikke at være nogen fjernkode til at udnytte fejlen lige nu, hvilket betyder, at potentielle hackere har brug for fysisk adgang til enhederne for at låse op for operativsystemet.

Forskerne siger, at sårbarheden stammer fra, hvordan Windows 10 S verificerer identiteten af ​​komponenter med højt privilegium. Ifølge den højtekniske note fra GPZ:

“Når et .NET COM-objekt instantieres, bruges CLSID, der sendes til mscorees DllGetClassObject, kun til at slå registreringsinformationen i HKCR op. På dette tidspunkt ... kastes CLSID, og ​​.NET-objektet oprettes. Dette har en direkte indvirkning på klassepolitikken, da det giver en hacker mulighed for at tilføje registreringsdatabasenøgler (inklusive til HKCU), der indlæser en vilkårlig COM-synlig klasse under en af ​​de tilladte CLSID'er. Da .NET ikke er ligeglad med, om .NET-typen har den specifikke GUID, kan du bruge dette til at bootstrap vilkårlig kodeudførelse ved at misbruge noget som DotNetToJScript ”

Interessant nok har Google og Microsoft tilsyneladende haft en smule et fald i den offentlige offentliggørelse af sårbarhederne. Google siger, at det meddelte Microsoft om sin opdagelse den 19. januar, hvorefter Redmond-giganten havde 90 dage til at rette op på manglerne. Som det viser sig, planlagde Microsoft oprindeligt at frigive rettelsen som en del af May Patch tirsdag. Google kom dog ikke om bord med tidsrammen, da det var langt ud over sin 90-dages deadline.

Redmond-giganten bad derefter angiveligt om en 14-dages deadline-forlængelse med et løfte om at udrulle plasteret med den kommende Redstone 4-opdatering, men Google afviste endnu en gang Microsoft med henvisning til manglen på en bestemt ETA, hvilket førte til uenigheden.

Sociale medier Se hvad verden så på YouTube i 2011 med YouTube Rewind
Se hvad verden så på YouTube i 2011 med YouTube Rewind
Efter Googles video om, hvordan verden søgte med Google i 2011, frigav YouTube en video, der er en kort tilbagespoling af alle de populære videoer på ...
Sociale medier Indiske statistik over sociale medier, mobil og internet, som enhver marketingmedarbejder bør vide (2014)
Indiske statistik over sociale medier, mobil og internet, som enhver marketingmedarbejder bør vide (2014)
Marketing på sociale medier og PR-bureau WeAreSocial har frigivet nogle virkelig interessante og nyttige statistikker om det sociale, digitale og mobi...
Sociale medier Mest sete videoer på YouTube i 2011
Mest sete videoer på YouTube i 2011
YouTube, det tredje mest besøgte websted i verden, serverede mere end 1.000.000.000.000 (en billion) afspilninger i år, som nævnt i deres blogindlæg. ...