Випущений вчора Microsoft щомісячний патч безпеки не до кінця виправляє одну з серйозних вразливостей Windows. До такого висновку прийшли фахівці з кібербезпеки, які працюють в рамках проекту Google Project Zero (GPZ).
Нагадаємо, учасники GPZ займаються пошуком вразливостей в софтверних продуктах Google та інших виробників. Про виявлені баги вони повідомляють розробників, надаючи їм 90 днів на усунення проблеми, а по закінченню цього терміну публікують публічні звіти про свою роботу.
Однією з 120 вразливостей, виправлення яких включені в патч, який Microsoft запустила вчора в рамках програми Patch Tuesday, є CVE-2020-1509. Її експлуатація дозволяє зловмисникові за допомогою відправки спеціально створеного запиту підвищити привілеї в сервісі перевірки автентичності локальної системи безпеки (Local Security Authority Subsystem Service).
Проблему виявив дослідник GPZ Джеймс Форшоу (James Forshaw), а 5 травня про неї стало відомо Microsoft. Хоча вразливість за класифікацією Google має середню ступінь серйозності, LSASS є ключовим процесом при аутентифікації користувачів під час авторизації на комп’ютерах з Windows, керованих через Active Directory. Згідно з опублікованими даними, проблема зачіпає всі підтримувані версії Windows 10.
Відмова Google продовжити період, протягом якого дані про проблему не з будуть розкриті публічно, в даному випадку виглядає скоріше формальністю, оскільки фахівці GPZ були впевнені в тому, що вразливість буде виправлена з виходом серпневого патча безпеки Microsoft. Джеймс Форшоу назвав помилку «виправленої», але через кілька годин додав новий коментар, в якому говорилося, що, по всій видимості, проблема вирішена не до кінця.
За словами Форшоу, LSASS не забезпечує належну перевірку справжності при отриманні доступу до Enterprise Authenticator через функцію єдиного входу. Завдяки цьому, будь-UWP-додаток, поміщене в ізольовану програмне середовище AppContainer, може проходити мережеву аутентифікацію з обліковими даними користувача через функцію єдиного входу.
З 1 грудня в Україні стартувала нова програма державної підтримки, яка передбачає виплату 1000 гривень.…
Портал MacRumors повідомляє, що Apple проводить внутрішнє тестування iOS 18.2.1. Про це свідчать логи відвідування…
Носіння розумного годинника може нести потенційну шкоду для здоров’я, як свідчить нове дослідження. Вчені виявили,…
Оскільки Apple все ще поширює оновлення на базі iOS 18 і робитиме це ще кілька…
Багато хто з нас хоча б раз стикався з труднощами при підключенні до Інтернету, коли…
У соціальних мережах знову з'явилися припущення про швидкий реліз нового трейлера Grand Theft Auto VI.…