Technologie

Google ujawnia lukę w zabezpieczeniach systemu Windows 10 S pomimo zastrzeżeń Microsoftu

Google ujawnia lukę w zabezpieczeniach systemu Windows 10 S pomimo zastrzeżeń Microsoftu

Badacze Google Project Zero (GPZ) byli odpowiedzialni za odkrycie luk w zabezpieczeniach wielu procesorów Meltdown i Spectre na początku tego roku. Teraz ogłosili, że Microsoft Windows 10 S cierpi na "średni poziom zagrożenia", który może potencjalnie pozwolić użytkownikom na uruchomienie dowolnego kodu do jailbreak, co jest zasadniczo zablokowanym systemem operacyjnym. Wydaje się, że w tej chwili nie ma zdalnego kodu do wykorzystania tej luki, co oznacza, że ​​potencjalni hakerzy będą potrzebować fizycznego dostępu do urządzeń, aby odblokować system operacyjny.

Naukowcy twierdzą, że luka w zabezpieczeniach wynika ze sposobu, w jaki system Windows 10 S weryfikuje tożsamość komponentów o wysokim poziomie uprawnień. Zgodnie z notą techniczną GPZ:

„Podczas tworzenia wystąpienia obiektu .NET COM identyfikator CLSID przekazany do obiektu DllGetClassObject mscoree jest używany tylko do wyszukiwania informacji rejestracyjnych w HKCR. W tym momencie… CLSID jest wyrzucany i tworzony jest obiekt .NET. Ma to bezpośredni wpływ na strategię klas, ponieważ umożliwia atakującemu dodawanie kluczy rejestru (w tym do HKCU), które ładowałyby dowolną widoczną klasę COM pod jednym z dozwolonych identyfikatorów CLSID. Ponieważ .NET nie dba o to, czy typ .NET ma ten konkretny identyfikator GUID, możesz go użyć do załadowania dowolnego kodu, nadużywając czegoś takiego jak DotNetToJScript ”

Co ciekawe, Google i Microsoft najwyraźniej trochę pokłóciły się o publiczne ujawnienie luk. Google twierdzi, że powiadomiło Microsoft o swoim odkryciu 19 stycznia, po czym gigant z Redmond miał 90 dni na naprawienie błędów. Jak się okazuje, Microsoft pierwotnie planował wypuścić poprawkę w ramach majowej łatki. Jednak Google nie zaakceptował ram czasowych, ponieważ był to daleko poza 90-dniowym terminem.

Gigant z Redmond następnie podobno poprosił o 14-dniowe przedłużenie terminu z obietnicą wprowadzenia łatki wraz z nadchodzącą aktualizacją Redstone 4, ale Google po raz kolejny odrzucił Microsoft, powołując się na brak konkretnej ETA, co doprowadziło do sporu.

Media społecznościowe Zrób beczkę w Google
Zrób beczkę w Google
Przejdź do Google Wpisz „Do a Barrel Roll” i naciśnij Enter. Nie będziesz rozczarowany. Wideo za pośrednictwem: http://www.youtube.com/user/labnol ...
Media społecznościowe Babuji jest zajęty, dając Kejriwal znacznie więcej niż „Aashirwad” na Twitterze
Babuji jest zajęty, dając Kejriwal znacznie więcej niż „Aashirwad” na Twitterze
Gdy tylko upubliczniono ogłoszenie o reelekcjach, które odbędą się w Delhi, w mediach społecznościowych pojawiło się wiele hullaballoo.. Chociaż na T...
Media społecznościowe 10 najbardziej przydatnych rozszerzeń i aplikacji Chrome dla Google Plus
10 najbardziej przydatnych rozszerzeń i aplikacji Chrome dla Google Plus
Gabriel Vasile, programista sieciowy z zawodu i aktywny użytkownik Google plus, w jednym ze swoich postów w Google plus zebrał świetną listę przydatny...