Google opäť zverejnil neopravenú zraniteľnosť vo Windows

Značky: bezpečnosťWindowsMicrosoftGoogle

DSL.sk, 2.11.2020

Spoločnosť Google opäť podobne ako viackrát v minulosti zverejnila detaily zatiaľ neopravenej tzv. 0-day bezpečnostnej zraniteľnosti vo Windows po tom, ako ju Microsoft neopravil do lehoty danej Googlom.

Google má svoj vlastný bezpečnostný tím Google Project Zero hľadajúci bezpečnostné chyby aj v produktoch iných spoločností a následne ich nahlasujúci tvorcom. Po nahlásení dáva tvorcom štandardne 90 dní na opravenie chýb a pokiaľ nie sú opravené do tohto termínu, aj tak o nich zverejní kompletné informácie.

Aktuálna zraniteľnosť CVE-2020-17087 je ale zneužívaná v útokoch a Google dal Microsoftu na opravenie sedem dní. Keď spoločnosť zraniteľnosť neopravila, Google zverejnil aj detailné informácie o zraniteľnosti vrátane proof-of-concept kódu.

Zraniteľnosť sa nachádza vo Windows Kernel Cryptography Driver, cng.sys, a umožňuje zvýšenie oprávnení vrátane napríklad úniku zo sandboxu.

Zraniteľnosť je podľa dostupných informácií zneužívaná v útokoch spolu so zraniteľnosťou CVE-2020-15999 v Chrome, práve na únik zo sandboxu využívaného prehliadačom.

Podľa Google sa zraniteľnosť nachádza vo verziách Windows minimálne od Windows 7 po aktuálnu verziu Windows 10. Google očakáva opravenie zraniteľnosti budúci utorok 10. novembra v rámci pravidelných bezpečnostných aktualizácií Microsoftu.




Najnovšie články:



Diskusia:

Nie je to dobry postup. Od: Bezny uzivatel | Pridané: 2.11.2020 8:54 To by si mali vydiskutovat za zatvorenymi dverami niekde v ustrani a nie sa verejne prekarat. Tymto nahravaju hackerom, ktori pasu po takych informaciach. Take velke firmy by si nemali robit doprieku. Na to moze doplatit jedine zakaznik windows a chrome. Odpovedať Známka: -6.1 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 2.11.2020 9:08 strategia a postupy su sice moralne diskutabilne, ale kazdemu ide o to iste: aby sa to co najskor opravilo, na druhej strane plati zakladne a svate pravidlo: ak o tom nikto nevie a nikto o tom nehovori, logicky nikto to nezneuziva (ale zase nikto to 20 rokov neopravi) (ale zase neiu je potreba lebo o tom nikto nevie a nikto to nezneuziva) atd stale dokola Odpovedať Známka: -3.3 Hodnotiť:

Re: Nie je to dobry postup. Od: MaN144 | Pridané: 2.11.2020 9:14 "ak o tom nikto nevie a nikto o tom nehovori, logicky nikto to nezneuziva" - Ako vieš, že túto zraniteľnosť doteraz nikto nezneužíval? Odpovedať Známka: 10.0 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 2.11.2020 9:17 A) nemyslel som konkretne tuto B) mohla byt zname niekomu inemu okrem mikrosrotu a guugelu C) len konstatujem ze logika vo vseobecnosti hovori ze ak o tom nikto nevie (z 7,8 miliard ludi), logicky nikto to nezneuziva Odpovedať Známka: -5.0 Hodnotiť:

ultraradikalny optimalizatorizmus Od: syntaxterrorXXX,. X | Pridané: 2.11.2020 9:21 Reakciu na vyjadrenie, výsledkom ktorého je nevyhnutnosť telepatie, zvládne priekazne plnohodnotne nahradiť i jedno jebnutie lopatou po hlave. Odpovedať Známka: -0.9 Hodnotiť:

Re: Nie je to dobry postup. Od: jebe jebe jebe | Pridané: 2.11.2020 9:23 Hovadina svet funguje inak. Tu sa platia milióny dolárov za backdoory a zraniteľnosti. Treba predpokladať že každú zraniteľnosť niekto už dávno zneužíva ! Preto je vhodne vytvoriť takýto nátlak aby sa opravila. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 2.11.2020 9:46 svet moze fungovat AKOKOLVEK a na baze vyhladavanych a predavenych/platenych backdoorov elementarnu logiku ale neojebes, nech robis cokolvek (t.j. ak o tom nikto nevie, nikto to nemoze zneuzivat) Odpovedať Známka: -2.0 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 2.11.2020 9:51 z toho ale implicitne nevyplyva spravnost myslienky ze treba predpokladat, ze kazdu zranitelsnot uz niekto pozna (a teda moze vyuzivat) velke zdrojove kody maju 20-30 milionov riadkov, vies si ty vobec predstavit pocet kombinacii co vsetko v takom kode moze byt pozmenene? vies si ty predstavit velksot maximalnej teoreticky moznej mnoziny vsetkych zranitelnosti? predpokladat ze kazdu teoreticky moznu zranitelnost uz niekto pozna, je uplne mimo Odpovedať Známka: -3.3 Hodnotiť:

ultraradikalny fakticizmus Od: syntaxterrorXXX,. X | Pridané: 2.11.2020 10:04 To je práveže ešte stále tu. Až faktická argumentácia na základe štatistickej pravdepodobnosti je priekazne mimo. Odpovedať Známka: 0.0 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 2.11.2020 9:58 elementarna logika: ak chce niekto ksetovat s nejakou konkretnou zranitelnostou, najprv musi vediet ze vobec ta zranitelnost existuje (nemusi ju vedeit vyuzit), ale musi vediet ze existuje Odpovedať Známka: -5.0 Hodnotiť:

Re: Nie je to dobry postup. Od: profesor elementarnej logiky | Pridané: 2.11.2020 11:14 elementarna logika: ked v clanku uviedli, ze tato zranitelnost sa zneuziva, vyplyva z toho ze Google presne zistil ako sa podarilo utocnikom obist sandbox Chrome a navysit uroven opravneni. elementarna logika: hodinu v kuse tu spamujes kydy postavene na tzv. slippery slope argumentacnom faile. Odpovedať Známka: 5.0 Hodnotiť:

Re: Nie je to dobry postup. Od reg.: Pjetro de | Pridané: 3.11.2020 14:30 bohuzail, ani profesor elementarnej logiky to nepochopil nuz...stava sa Odpovedať Hodnotiť:

Re: Nie je to dobry postup. Od reg.: jupiii | Pridané: 6.11.2020 7:51 Okrem toho si ale pisal aj hluposti typicke z pohladu elementarnej logiky. Nech ma aj kvadrilion riadkov kodu, programovanie nema byt pisanie biblie, ktora si v kazdom useku odporuje. Technologicky softverovy gigant plny inzinierov, ktori nie su schopni opravit ZNAMU chybu (niektore nedokazal ani za 90 dni), by sa prave mali zamysliet nad strukturou kodu. Odpovedať Hodnotiť:

Re: Nie je to dobry postup. Od reg.: stromohrom | Pridané: 2.11.2020 17:39 v clanku je napisane: "Zraniteľnosť JE podľa dostupných informácií zneužívaná v útokoch spolu so zraniteľnosťou CVE-2020-15999 v Chrome, práve na únik zo sandboxu využívaného prehliadačom." cela tvrdenie "nikto nevie.." je tym padom neplatne.. zrejme si chcel povedat, ze vacsina amaterskych hackerov o tom nevie a tym padom to nevedia zneuzit. Je na zamyslenie, do akej miery "utajenie" pred Script Kiddies vyrazne prispeje k security. Odpovedať Hodnotiť:

Re: Nie je to dobry postup. Od: MaN144 | Pridané: 2.11.2020 9:08 Tak dôležitú vec, ako zraniteľnosť OS je v dnešnej dobe nutné vedieť opraviť rýchlo. Jasné, že v tak zložitom projekte ako je Win je to náročné, ale podľa mňa je takýto nátlak jediným riešením. Lebo inak by sme stále len od MS počúvali ako sa to nedá. Odpovedať Hodnotiť:

Re: Nie je to dobry postup. Od: huanggg | Pridané: 2.11.2020 9:09 hackery vyuzivaju iny kopec zranitelnosti, na ktorych zarabaju o moc viac ako pripadna odmena od spolocnosti. Odpovedať Hodnotiť:

Re: Nie je to dobry postup. Od: nemamnechcemnebudem | Pridané: 4.11.2020 11:56 Ale ved o tom to je, keby to vydiskutovali za zatvorenymi dverami, Microsoft by nikdy tieto zranitelnosti neopravoval, neboli by priorita, presne kvoli tomu, ze nikto o nich nemusi vediet. Takto o nich vedia vsetci, vedia, ako to pouzit a zneuzit a Microsoft prakticky nema inu monoznost, ako to prioritizovat a opravit to co najskor. Podla mna velmi dobra strategia. Odpovedať Hodnotiť:

5znakov Od: 123123321 | Pridané: 2.11.2020 9:11 Zranitelnost je uz in the wild, takze je pochopitelne ze ju zverejnili, potom co MS este nevyriesil zaplatu. Odpovedať Známka: 10.0 Hodnotiť:

Keby ... Od: _iso | Pridané: 2.11.2020 9:25 Keby zamestnali Kalinaka, ten by im vysvetlil, ze kto nerobi nic zle, nemusi nic skryvat. A cely biznis s vulnerabilitami by tym raz a navzdy skrachoval. Lebo korupcia na najvyssich miestach nie je. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár