Програми

Microsoft не усунула серйозну уразливість Windows 10

Share
Час читання: 2 хв.

Випущений вчора Microsoft щомісячний патч безпеки не до кінця виправляє одну з серйозних вразливостей Windows. До такого висновку прийшли фахівці з кібербезпеки, які працюють в рамках проекту Google Project Zero (GPZ).

Нагадаємо, учасники GPZ займаються пошуком вразливостей в софтверних продуктах Google та інших виробників. Про виявлені баги вони повідомляють розробників, надаючи їм 90 днів на усунення проблеми, а по закінченню цього терміну публікують публічні звіти про свою роботу.

Однією з 120 вразливостей, виправлення яких включені в патч, який Microsoft запустила вчора в рамках програми Patch Tuesday, є CVE-2020-1509. Її експлуатація дозволяє зловмисникові за допомогою відправки спеціально створеного запиту підвищити привілеї в сервісі перевірки автентичності локальної системи безпеки (Local Security Authority Subsystem Service).

Проблему виявив дослідник GPZ Джеймс Форшоу (James Forshaw), а 5 травня про неї стало відомо Microsoft. Хоча вразливість за класифікацією Google має середню ступінь серйозності, LSASS є ключовим процесом при аутентифікації користувачів під час авторизації на комп’ютерах з Windows, керованих через Active Directory. Згідно з опублікованими даними, проблема зачіпає всі підтримувані версії Windows 10.

Відмова Google продовжити період, протягом якого дані про проблему не з будуть розкриті публічно, в даному випадку виглядає скоріше формальністю, оскільки фахівці GPZ були впевнені в тому, що вразливість буде виправлена ​​з виходом серпневого патча безпеки Microsoft. Джеймс Форшоу назвав помилку «виправленої», але через кілька годин додав новий коментар, в якому говорилося, що, по всій видимості, проблема вирішена не до кінця.

За словами Форшоу, LSASS не забезпечує належну перевірку справжності при отриманні доступу до Enterprise Authenticator через функцію єдиного входу. Завдяки цьому, будь-UWP-додаток, поміщене в ізольовану програмне середовище AppContainer, може проходити мережеву аутентифікацію з обліковими даними користувача через функцію єдиного входу.

Скарбик Павло

Закінчив Тернопільський національний технічний університет, почав писати про IT у 2015 році. Люблю розповідати про iPhone і Mac, автомобілі, їжу, гаджети розумного будинку і роблю огляди. Також захоплююся спортом а саме баскетболом і активним відпочинком на свіжому повітрі. Головний редактор iTechua.com.

Опублікував
Скарбик Павло
  • Останні записи

    Що робити, якщо не отримали обіцяні гроші від держави

    З 1 грудня в Україні стартувала нова програма державної підтримки, яка передбачає виплату 1000 гривень.…

    22.12.2024

    Apple випускає екстрене оновлення iOS 18.2.1 для iPhone

    Портал MacRumors повідомляє, що Apple проводить внутрішнє тестування iOS 18.2.1. Про це свідчать логи відвідування…

    22.12.2024

    Розумні годинники можуть завдати шкоди: нове дослідження

    Носіння розумного годинника може нести потенційну шкоду для здоров’я, як свідчить нове дослідження. Вчені виявили,…

    22.12.2024

    Кінець оновлень для старих iPhone: коли це станеться

    Оскільки Apple все ще поширює оновлення на базі iOS 18 і робитиме це ще кілька…

    22.12.2024

    Неочевидні причини уповільнення інтернету: що слід перевірити

    Багато хто з нас хоча б раз стикався з труднощами при підключенні до Інтернету, коли…

    22.12.2024

    Rockstar готує сюрприз: трейлер GTA VI можуть випустити 27 грудня

    У соціальних мережах знову з'явилися припущення про швидкий реліз нового трейлера Grand Theft Auto VI.…

    22.12.2024