Under de senaste två dagarna, en säkerhetsforskare som går av handtaget SandBoxEscaper släpptes demo-koden för tre olika Windows-10 sårbarheter. Microsoft redan har lappat minst en bedrift, men företaget har inte kommenterat den andra ännu.
Under det senaste året, SandBoxEscaper har publicerat sju olika bedrifter, var och en av varierande betydelse och användarvänlighet. Olika butiker som Ars Technica och ZDNet är med hänvisning till dessa nya sårbarheter som “zero-day exploits” men det kan inte vara helt korrekt.
Begreppet “zero-day” avser utnyttjar upptäckt av utomstående parter, och sedan antingen användas eller publiceras utan att meddela det aktuella företaget först. Tidiga rapporter föreslog att SandBoxEscaper publicerat alla dessa bedrifter utan att ansvariga anmälan till Microsoft, men det tycks inte vara fallet.
RELATERAT: Vad Är en “Zero-Day” Utnyttja, och Hur Kan Du Skydda dig?
ZDNet nämner i en uppdaterad version av sin artikel att Microsoft klargjorde att det redan har lappat minst en av dessa bedrifter, och kopplat det till CVE-2019-0863, en exploit krediteras till “Polar Bear” (ett annat namn SandBoxEscaper använder). Microsoft ville inte kommentera de andra två sårbarheter.
Om du undrar hur farliga dessa bedrifter, svaret är lite av en blandad kompott. Enligt SandBoxEscaper, sårbarhet är svårt att dra fördel av och kräver lokal tillgång till riktade maskinen. Så som begränsar nyttan av de utnyttjar.
Å andra sidan, om en dålig skådespelare inte få tillgång till maskiner för att mål, kan de orsaka en hel del skada med någon av dessa bedrifter, eftersom de ger olika sätt att höja privilegier, få tillträde till SYSTEM, och köra JavaScript på en nivå IE11 sandlåda bör förhindra.
Om Microsoft inte redan har lappat alla tre sårbarheter, företaget behöver för att göra dem i fokus. [ZDNet]
I Andra Nyheter
- League Of Legends kan komma till mobila enheter: Enligt “källor” Tencent och Riot Games kan arbeta på en mobil version av League of Legends. Det är ett klokt drag med tanke på framgången av Fortnite på varje plattform. Men tills vi har mer än bara namngivna källor, det är en hopp-och ryktet på bästa sätt. Jag kallar Jarvan IV! [Reuters]
- Razer Forge TV och Ouya säga ett sista adjö: Du kanske tänker just nu: “Vad är Razer Forge TV och OUYA?” och det skulle vara problemet. Razer Forge TV var bland de första försöken till Android på TV, och företaget drog det inom några månader. Och OUYA lovat att ändra spelet med sin crowdfinansierad Android-TV-konsolen innan Razer köpte företaget. Varken tog fart och nu Razer säger att det är att stänga sina butiker på nätet efter den 25 juni, till 2019. [9to5Google]
- Panik kommande PlayDate handheld är super söt: Kommer från skaparna av stor Mac programvara som Coda och Snabb, och indie spel som skaparna bakom Katamari, är en bedårande liten handdator med en vev. Titta på hästen gif, det skriker av barndom oskuld på något sätt. Det PlayDate är inställd på att släppa i början av 2020, och på grund av en high-end-tv och annan maskinvara bör detaljhandeln runt $150. [Väg]
- Tesla ‘ s nya lane change tech kan inte vara säker: Nyligen Tesla uppdaterad dess “Autopilot programvara” med möjlighet att automatiskt byta körfält. Företaget hävdar bilen kan göra det säkrare på sin egen än en människa, men Consumer Reports säger något annat. I tester att de hittat fordon försökt att byta fil på osäkra sätt, bromsning på unexpecting poäng och skära av bilar med lite utrymme för att avvara. Självstyrande bilar har en lång lång väg att gå. [Consumer Reports]
- Las Vegas utmärkelser Tråkiga Företaget en $49 miljoner kontrakt: Elon Musk andra företag, det Tråkigaste Företaget, har glada nyheter. Las Vegas godkänt ett avtal om att bygga en underjordisk people mover tunnel, komplett med autonoma elfordon. Om löftet att sänka en 15-minuters promenad till 1 minut har, CES deltagare kommer att vara tacksam. Inte ett ord om huruvida tunneln kommer med kompletterande eldkastare. [Väg]
- Googles Duplex fungerar riktigt bra när det inte är riktigt mänsklig: New York Times gav en provkörning av Duplex, Googles A. I. (Artificiell Intelligens) bokning tjänster som schemalägga bokningar för platser som restauranger. När A. I. faktiskt gjorde samtalet, hela processen var imponerande, och det mänskliga på linjen kunde inte berätta det. Men ibland, det var inte en A. I. på alla. Google säger att ca 25% av Duplex samtal görs av en människa, inte Duplex A. I., och även när A. I. startar samtalet, en människa ingriper i 15% av dessa fall. [New York Times]
- Spotify återställa användarens lösenord på grund av misstänkt aktivitet: en Del användare av Spotify fått meddelande om att bolaget återställer deras lösenord. I ett något otydligt förtydligande Techcrunch, företaget förklarar de skickade meddelande till en användare som en försiktighetsåtgärd och påminde användare att inte återanvända lösenord på webbplatser. Utan mer information, vi kan bara gissa vad som händer. [TechCrunch]
- Apple skickade ut media inbjuder till WWDC keynote: WWDC närmar sig snabbt, och vi är benägna att höra om de senaste och bästa program-uppdateringar för iOS, mac os, och så vidare. Apple skickade ut media bjuder in till keynote, som äger rum den 3 juni. Om du inte får en biljett, samt att det är för sent. Du kommer bara att titta från hem som resten av oss. [MacRumors]
- GitHub Sponsorer är som Patreon för öppen källkod: Github aviserat just en ny “sponsorer” program som låter påminner till Patreon eller Rycka sponsring. Du kan välja en open source-utvecklare att skicka in månatliga återkommande gåvor och utvecklarna kan lägga till belöning nivåer. Microsoft säger att det kommer att matcha $5000 värt av donationer i en utvecklares första årets deltagande och avstå från alla avgifter för kommande tolv månader. Det är inte helt klart ännu hur varje aspekt kommer att fungera, men, så håll ett öga på mer information framöver. [GeekWire]
Och avslutningsvis, NASA skulle vilja skicka ditt namn till Mars. Med en snabb inlämning form, du kan ge ditt namn till att vara etsad på ett mikrochip, tillsammans med alla som registrerar sig, som sedan kommer att vara ansluten till Mars 2020 rover. Om du ger NASA din e-postadress, kommer de att skicka dig meddelanden för framtida möjligheter som denna. Och som en liten bonus, NASA kommer att ge dig en kul boardingkort för att skicka in ditt namn och oj som vi skojar du inte läser detta, är du? Du är redan undertecknande upp, och det är vi ska göra just nu också. [NASA]