AllInfo

Dagelijks Nieuws Roundup: Windows Exploits Komen in Drieën

De afgelopen twee dagen, een security-onderzoeker die gaat door het handvat SandBoxEscaper uitgebrachte demo code voor drie verschillende Windows-10 kwetsbaarheden. Microsoft al gepatcht ten minste één exploiteren, maar het bedrijf heeft nog niet gereageerd op de anderen nog.

In het afgelopen jaar, SandBoxEscaper publiceerde zeven verschillende exploits, die elk een verschillende mate van belang en het gemak van het gebruik. Verschillende verkooppunten zoals Ars Technica en ZDNet verwijzen naar deze laatste kwetsbaarheden als “zero-day exploits” maar dat kan niet helemaal accuraat.

De term ‘zero-day’ verwijst naar exploits ontdekt door externe partijen en vervolgens gebruikt of gepubliceerd worden zonder kennisgeving aan de betrokken vennootschap eerst. Begin van de rapporten wordt gesuggereerd dat SandBoxEscaper gepubliceerd van deze exploits zonder verantwoordelijk kennisgeving aan Microsoft, maar dat blijkt niet het geval te zijn.

GERELATEERD: Wat Is een “Zero-Day” te Exploiteren, en Hoe Kun Je Jezelf Beschermen?

ZDNet noemt in een bijgewerkte versie van hun artikel dat Microsoft verduidelijkt het al gepatcht ten minste één van deze exploits, en gekoppeld aan CVE-2019-0863, een exploit bijgeschreven op “Polar Bear” (een andere naam SandBoxEscaper gebruikt). Microsoft wilde niet reageren op de andere twee kwetsbaarheden.

Als je je afvraagt hoe gevaarlijk deze exploits zijn, het antwoord is een beetje een mixed bag. Volgens SandBoxEscaper, de kwetsbaarheden zijn moeilijk te profiteren van en vereisen lokale toegang tot de gerichte machine. Dus dat beperkt de bruikbaarheid van de heldendaden.

Aan de andere kant, als een slechte acteur heeft toegang tot machines te richten, kunnen ze veroorzaken heel wat schade met een van deze exploits, als zij toestaan verschillende manieren te verheffen privileges, krijgen toegang tot het SYSTEEM en het uitvoeren van JavaScript op een niveau IE11 sandbox moet voorkomen.

Als Microsoft nog niet gepatcht alle drie de problemen, de behoefte van het bedrijf om ze te maken, een focus. [ZDNet]

In Ander Nieuws

En bij het sluiten, de NASA zou willen sturen uw naam Mars. Met een snelle indiening van het formulier, kunt u uw naam geëtst op een microchip, samen met iedereen die zich aanmeldt, die vervolgens zal worden bevestigd aan de Mars 2020 rover. Als je de NASA uw e-mail adres, zullen ze u berichten te sturen naar mogelijkheden in de toekomst als deze. En als een kleine bonus, NASA zal geven u een leuke boarding pass voor het indienen van uw naam en o, wie zijn we nou voor de gek, je bent niet dit lezen, zijn jullie? Je bent nu al aanmelden, en dat gaan we doen ook. [NASA]

Exit mobile version