In den vergangenen zwei Tagen, ein Sicherheitsexperte, der geht durch den Griff SandBoxEscaper veröffentlichte demo-code für drei verschiedene Windows-10-Schwachstellen. Die von Microsoft bereits gepatchte mindestens ein exploit, aber das Unternehmen hat noch nicht kommentiert die anderen noch.
Im vergangenen Jahr SandBoxEscaper veröffentlicht hat sieben verschiedene exploits, die jeweils von unterschiedlicher Bedeutung und Benutzerfreundlichkeit. Verschiedenen Verkaufsstellen, wie Ars Technica und ZDNet sind unter Bezugnahme auf diese neuesten Schwachstellen als “zero-day-exploits” aber es mag nicht ganz akkurat sein.
Der Begriff “zero-day” bezieht sich auf exploits entdeckt, die von aussen und dann entweder genutzt oder veröffentlicht, ohne die betroffenen Unternehmen. Frühe Berichte vorgeschlagen, dass SandBoxEscaper veröffentlicht alle diese exploits verantwortlich, ohne Benachrichtigung an Microsoft, aber das scheint nicht der Fall zu sein.
RELATED: Was Ist ein “Zero-Day” – Exploit, und Wie Kann Man Sich Schützen?
ZDNet erwähnt in einer aktualisierten version Ihrer Artikel, dass Microsoft geklärt es bereits gepatcht ist mindestens eine dieser Heldentaten, und verknüpft es, um CVE-2019-0863, ein exploit gutgeschrieben “Polar Bear” (ein anderer name SandBoxEscaper verwendet). Microsoft nicht kommentieren, die anderen beiden Schwachstellen.
Wenn Sie sich Fragen, wie gefährlich diese exploits sind, die Antwort ist ein bisschen eine gemischte Tüte. Nach SandBoxEscaper, die Lücken sind schwer zu nutzen, und benötigen lokalen Zugriff auf die gezielte Maschine. Also, die Grenzen der Nützlichkeit des exploits.
Auf der anderen Seite, wenn ein schlechter Schauspieler, der hat den Zugang zu Maschinen zu Zielen, die Sie verursachen können ziemlich viel Schaden mit diesen exploits, wie Sie die unterschiedlichen Möglichkeiten, Berechtigungen zu erhöhen, gewinnen Zugriff auf das SYSTEM und die Ausführung von JavaScript auf einem Niveau, IE11 sandbox verhindern sollte.
Wenn Microsoft noch nicht gepatcht alle drei Schwachstellen, die das Unternehmen benötigt, um Ihnen einen Schwerpunkt. [ZDNet]
In Anderen News
- League Of Legends kommen könnte, um mobile Geräte: Laut “Quellen” Tencent und kann Riot Games arbeiten an einer mobilen version von League of Legends. Es ist ein vernünftiger Schritt, angesichts der Erfolg von Fortnite auf jeder Plattform. Aber bis wir mehr als nur Unbenannte Quellen, es ist eine Hoffnung, und das Gerücht am besten. Ich nenne jarvan IV IV! [Reuters]
- Razer Forge TV und Ouya sagen ein letztes Lebewohl: Sie denken vielleicht jetzt: “Was ist Razer Forge TV und OUYA?”, und das wäre das problem. Razer Forge TV war einer der ersten versuche, Android auf dem TV, und die Firma zog innerhalb weniger Monate. Und OUYA versprochen, das Spiel zu ändern mit Ihrem crowdfunded-Android-TV-Konsole, bevor Sie Razer die Firma kaufte. Weder nahm und nun Razer sagt, dass seine Herunterfahren Ihres online-Shops, die nach Juni 25th, 2019. [9to5Google]
- Panik anstehenden PlayDate handheld ist super nett: Kommt von den Machern von ” großartigen Mac-software wie Coda und Prompt, und indie-game-Macher hinter Katamari, ist eine entzückende kleine handheld mit einer Kurbel. Blick auf das Pferd gif, schreit der kindheit Unschuld irgendwie. Das PlayDate auf release festgelegt ist Anfang 2020, und durch eine high-end-Bildschirm und andere hardware sollte im Einzelhandel rund 150 Dollar. [The Verge]
- Tesla ‘ s neue Spurwechsel-tech kann nicht sicher sein: vor Kurzem Tesla aktualisiert seine “Autopilot-software” mit der Fähigkeit zur automatischen Spurwechsel. Die Firma behauptet, das Auto macht diese sicherer auf seine eigene als ein Mensch, aber Consumer Reports sagt etwas anderes. In der Prüfung fanden Sie die Fahrzeuge versucht, die Spuren zu wechseln in unsicheren Manieren, Bremsen auf unexpecting Punkte und abschneiden Autos mit wenig Raum zu ersparen. Selbstfahrende Autos haben einen langen Weg zu gehen. [Verbraucher Berichte]
- Las Vegas-awards Langweilige Gesellschaft einen $49 Millionen-Vertrag: Elon Musk ist andere venture, das Langweilig-Unternehmen, hat die frohe Botschaft. Las Vegas genehmigt einen Vertrag zum Bau einer unterirdischen people mover tunnel, komplett mit autarken Elektro-Fahrzeuge. Wenn die Versprechen, schneiden Sie einen 15-minütigen Spaziergang von 1 minute hält, CES-Besucher werden dankbar sein. Kein Wort darüber, ob der tunnel wird mit ergänzenden Flammenwerfern. [The Verge]
- Google Duplex funktioniert wirklich gut, auch wenn es nicht wirklich human: Die New York Times gab einen Testlauf von Duplex -, Google-A. I. (Artificial Intelligence) Dienstleistungen buchen, Reservierungen für Orte wie restaurants. Wenn die A. I. tatsächlich den Anruf, der ganze Prozess war beeindruckend, und die Menschen auf der Linie nicht mehr erkennen konnte. Aber manchmal war es nicht eine A. I. überhaupt. Google sagt, dass etwa 25% der Duplex-Anrufe gemacht werden-von Menschen, nicht die Duplex-A. I., und selbst wenn die A. I. hat den Anruf zu starten, einen Menschen eingreift, in 15% der Fälle. [New York Times]
- Spotify reset einige Nutzer-Passwörter aufgrund Verdächtiger Aktivitäten: Einige Nutzer von Spotify erhalten die Meldung, dass die Unternehmen Ihre Kennwörter zurückzusetzen. In einer etwas vage Klarstellung zu Techcrunch, das Unternehmen erklärt, dass Sie die Nachricht gesendet zu einigen Benutzern als eine Vorsichtsmaßnahme und erinnert Benutzer, die nicht wiederverwenden Passwörter auf Webseiten. Ohne weitere Informationen können wir nur erahnen, was Los ist. [TechCrunch]
- Apple verschickt media lädt zur WWDC-keynote: WWDC rückt näher, und wir sind wahrscheinlich zu hören, über die neusten und besten software-updates für iOS, macOS und so weiter. Apple verschickt media lädt zur keynote findet am 3. Juni. Wenn Sie nicht bekommen, ein ticket, nun ist es zu spät. Sie müssen nur zusehen von zu Hause aus, wie der rest von uns. [MacRumors]
- GitHub Sponsoren ist wie Patreon für open source code: Github hat gerade angekündigt, eine neue “Sponsoren” – Programm, das Klänge erinnern an Patreon oder Zucken Patenschaften. Sie können wählen, ein open-source-Entwickler zu senden, die monatlichen Geschenke auf, und die Entwickler können hinzufügen, belohnen Etagen. Microsoft sagt, es wird match – $5000 im Wert von Spenden in einem Entwickler im ersten Jahr der Teilnahme und Verzicht auf alle Gebühren, die für die nächsten zwölf Monate. Es ist nicht völlig klar, doch wie jeder Aspekt wird aber funktionieren, so halten Sie ein Auge auf mehr details zu kommen. [GeekWire]
Und zum Schluss, die NASA würde gerne Ihren Namen auf den Mars. Mit einem schnellen submission-Formular können Sie Ihren Namen geätzt werden auf einem Mikrochip, zusammen mit jedem, der sich anmeldet, die dann angebracht werden, um die Mars 2020 rover. Wenn Sie die NASA Ihre E-Mail-Adresse, Sie erhalten Sie Hinweise für zukünftige Gelegenheiten wie diese. Und als kleinen bonus, der NASA wird Ihnen ein Spaß Bordkarte für die übermittlung Ihrer Namen und oh, wer sind wir ein Scherz, Sie Lesen das nicht, sind Sie? Sie sind bereits mit der Anmeldung, und wir gehen jetzt auch. [NASA]