Microsoft pārtrauc četrus no pieciem nulles dienas draudiem, kas atklāti operētājsistēmās Windows 10 un Windows 2019 Server
Satura rādītājs:
Maija beigās saņēmām ziņas par drošību mūsu iekārtās. Par šī drošības pārkāpuma publiskošanu atbildīgā persona bija hakeris SandboxEscaper, kurš atklāja draudus, ka Microsoft vēl nebija izlabojis savus datorus
"Ir pagājušas gandrīz divas nedēļas, un tagad šķiet, ka Redmondas firma ir izlaidusi ielāpu, kas labo četrus no pieciem esošajiem draudiem. Kaut kas īpaši svarīgs, jo izlaistie ielāpi ir pieejami, lai segtu nulles dienas ievainojamības(nulles diena)."
Četri no pieciem
Visunikālākais SandboxEscaper ir tas, ka šajos gadījumos nebija ievērots protokols Labvēlības perioda piešķiršanas vietā trīs mēneši , hakeris bija paziņojis sabiedrībai par šo ievainojamību esamību. Ietekmētais uzņēmums, šajā gadījumā Microsoft, bija zaudējis tiesības saņemt iepriekšēju un slepenu brīdinājumu, lai strādātu pie kļūdu labošanas.
Patiesība ir tāda, ka pretēji pulkstenim un visas pasaules redzeslokā ASV uzņēmumam ir izdevies mīkstināt četrus no pieciem draudiem , kas tajā gadījumā tika atklāts:
|
Draudu nosaukums |
CVE |
Apraksts |
|---|---|---|
|
BearLPE |
CVE-2019-1069 |
LPE eksplodē Windows uzdevumu plānotāja procesā |
|
SandboxEscape |
CVE-2019-1053 |
SandboxEscape pārlūkprogrammai Internet Explorer 11 |
|
CVE-2019-0841-BYPASS |
CVE-2019-1064 |
Apiet ielāps CVE-2019-0841 |
|
InstallerBypass |
CVE-2019-0973 |
LPE novirzīts uz Windows Installer mapi |
Atcerieties, ka tie ir Windows Local Privilege Escalation (LPE) drošības trūkumi CVE-2019-1069, CVE -2019-1064, CVE -2019-0973 un ievainojamība, kas ietekmē pārlūkprogrammu Internet Explorer 11. Drošības kļūdas CVE-2019-1053 gadījumā, kas ietekmē pārlūkprogrammu Internet Explorer (IE), tā ir kļūda, kas ļauj lietotājiem uzbrucējiem ievadīt DLL Microsoft pārlūkprogrammā. Savukārt cita kļūme ir saistīta ar iepriekš publicētu ielāpu, kas ietekmē privilēģiju defektu un Windows atļauju pārrakstīšanu.
Joprojām ir jālabo piektais drauds, taču Microsoft nav paspējis labot kļūdu, jo SandboxEscaper to publicēja tikai a. pirms dažiem gadiem dienas. Tāpēc minētais ielāps joprojām gaida izlaišanu.
"Lai piekļūtu jaunajiem Microsoft drošības ielāpiem, jāizmanto parastā metode. Lai to izdarītu, dodieties uz Iestatījumi > Atjaunināšana un drošība > Windows atjaunināšana Šeit ir norādīts, cik svarīgi ir regulāri atjaunināt operētājsistēmu."
Via | ZDNet
