Windows 10 bug: Google sekali lagi mendedahkan kod untuk cacat tidak penting yang 'penting'
Untuk kali kedua dalam seminggu, Google mendedahkan satu lagi kerentanan Windows 10 yang belum dipatenkan.
Projek Zero Google telah mendedahkan kecacatan yang belum dipatenkan yang menjejaskan Windows 10 kerana Microsoft terlepas tarikh akhir 90 hari untuk menambal atau mendedahkan.
Forshaw pada November dilaporkan kepada Microsoft yang pasangan daripada pepijat mempengaruhi fungsi yang sama dalam Windows 10. bug dilabel oleh Google sebagai isu 1427 dan isu 1428, termasuk bukti-of-konsep kod yang menunjukkan kecacatan itu.
Bug telah diberikan ID CVE-2018-0826, yang ditangani Microsoft bulan ini , menarafkannya sebagai 'penting' dan 'kemungkinan besar' untuk dieksploitasi.
"Ketinggian kelebihan keistimewaan wujud apabila Perkhidmatan Storan tidak betul mengendalikan objek dalam memori. Penyerang yang berjaya mengeksploitasi kelemahan ini boleh menjalankan proses dalam konteks yang tinggi," tulis Microsoft.
"Untuk mengeksploitasi kerentanan itu, penyerang pertama perlu log masuk ke sistem, dan kemudian menjalankan aplikasi yang dibuat khusus untuk mengawal sistem yang terjejas."
Walau bagaimanapun, menurut Forshaw, patch Microsoft hanya menyelesaikan masalah 1427, walaupun dia telah memfailkan dua laporan untuk memastikan "kes tepi" yang diterangkan dalam masalah 1428 tidak terjawab.
"Perhatikan ini adalah bug kedua dalam fungsi yang sama. Saya mengemukakannya secara berasingan hanya untuk memastikan bahawa pembaikan yang terhasil tidak terlepas kes ini juga," tulis Forshaw pada bulan November.
Minggu ini dia mengemas kini jawatan itu: "Setelah meninjau patch untuk masalah ini [Microsoft] tidak menetapkannya walaupun laporan itu agak spesifik tentang tidak melupakan kes tepi ini. Oleh kerana itu sebenarnya tidak diperbaiki, status telah dibalikkan kepada Baru."
Menurut garis masa Forshaw, penilai di Redmond memutuskan bahawa kedua-dua isu adalah pendua.
Forshaw berkata terdapat beberapa faktor yang menjelaskan perbezaan antara penilaian Google ini adalah masalah keterukan yang "tinggi" manakala Microsoft hanya menilai ia sebagai "penting".
"MS menganggap ini sebagai isu yang 'penting', tetapi ia bukan isu 'kritikal' kerana isu ini adalah Keistimewaan Keistimewaan yang membolehkan pengguna biasa mendapat keistimewaan pentadbir. mesti sudah menjalankan kod pada sistem pada tahap keistimewaan pengguna biasa, "Forshaw menulis.
"Ia tidak boleh diserang dari jauh (tanpa menyerang isu yang tidak betul sepenuhnya untuk mendapatkan pelaksanaan kod jauh), dan juga tidak boleh digunakan dari kotak pasir seperti yang digunakan oleh Edge dan Chrome. Tanda isu ini sebagai 'keparahan yang tinggi' mencerminkan kemudahan eksploitasi untuk jenis isu. Mudah untuk mengeksploitasi, tetapi tidak mengambil kira prasyarat untuk mengeksploitasi masalah itu di tempat pertama. "
Microsoft juga mengemaskinikan panduannya kepada Google mengenai jalan pintas pengurangan eksploitasi. Redmond yakin ia dapat membetulkan isu itu dalam kemas kini Mac, tetapi sejak itu memberitahu Google ia tidak mempunyai tarikh untuk menetapkan ketersediaan kerana kerumitannya.
"[Microsoft Security Response Center] membantah saya untuk memperjelaskan bahawa, kerana kerumitan pembetulan itu, mereka belum lagi menetapkan set tarikh tetap," tulis peneliti Project Zero Ivan Fratric.
Macbook / Laptop Rosak , Tanya Kami .. Dimana Kami? - ( Seri Kembangan Outlet )
- 5 Minit Dari Kinrara
- 10 Minit Dari Cheras , Putrajaya
- 15 Minit Dari Puchong
- 20 Minit Dari KL
- 25 Minit Dari Bangsar
Macnote Studio Seri Kembangan
Lot G.45 , Bazaar Rakyat PKPS,
Jalan Putra Permai 5/4,
Bandar Putra Permai,
4330 Seri Kembangan, Selangor
Waze : Bazaar Rakyat PKPS
Google Maps : Bazaar Rakyat PKPS
E-mail : macbookstationsk@gmail.com
Phone : 03-8938 2344 /0105267005
Tel : 0105267005
Tel : 0105267005
Landmark : Cari Hotel M Design ( Tengok Gambar Diatas)
Waktu Operasi : Isnin - Ahad (10 a.m. - 9 p.m.) Setiap Hari
Tiada ulasan:
Catat Ulasan