Negli ultimi due giorni, un ricercatore di sicurezza che va dalla maniglia SandBoxEscaper demo rilasciato il codice per tre diverse vulnerabilità di Windows 10. Microsoft già patchato almeno un exploit, ma la società non ha commentato gli altri.
L’anno scorso, SandBoxEscaper ha pubblicato sette diversi exploit, ognuno dei diversi gradi di importanza e facilità di utilizzo. Vari punti vendita come Ars Technica e ZDNet riferimento a queste ultime vulnerabilità “zero-day”, ma che possono non essere esatte.
Il termine “zero-day” si riferisce agli exploit scoperto da terzi e poi utilizzati o pubblicati senza notifica alle società di prima. I primi rapporti ha suggerito che SandBoxEscaper pubblicato tutti questi exploit senza responsabili di notifica di Microsoft, ma che non sembra essere il caso.
CORRELATI: che Cosa È un “Zero-Day Exploit, e Come ci Si Può Proteggere?
ZDNet parla, in una versione aggiornata dell’articolo che Microsoft ha chiarito già patchato almeno uno di questi exploit, e l’ha collegata alla CVE-2019-0863, un exploit accreditato a “Orso Polare” (altro nome SandBoxEscaper usa). Microsoft non ha commentato le altre due vulnerabilità.
Se ti stai chiedendo come pericolosi questi exploit sono, la risposta è un po ‘ di un sacchetto mixed. Secondo SandBoxEscaper, le vulnerabilità sono difficili da sfruttare e richiedono l’accesso locale al target della macchina. Così che limita l’utilità di un exploit.
D’altra parte, se un cattivo attore fa accedere a macchine di destinazione, possono causare un bel po ‘ di danni con qualsiasi di questi problemi, in quanto consentono vari modi per elevare i privilegi, accedere al SISTEMA ed eseguire codice JavaScript ad un livello IE11 sandbox dovrebbe evitare.
Se Microsoft non ha già patchato tutti e tre vulnerabilità, l’azienda ha bisogno di fare loro una messa a fuoco. [ZDNet]
In Altre Notizie
- League Of Legends potrebbe venire i dispositivi mobile: Secondo le “fonti” Tencent e Riot Games potrebbe essere al lavoro su una versione mobile di League of Legends. È una mossa sensata, visto il successo di Fortnite su ogni piattaforma. Ma fino a quando non sono più solo una fonte sconosciuta, è una speranza e una voce al meglio. Io chiamo Jarvan IV! [Reuters]
- Razer Forge TV e Ouya dire addio finale: Si può essere pensando in questo momento: “che Cosa è il Razer Forge TV e OUYA?” e quello sarebbe il problema. Razer Forge TV è stato tra i primi tentativi di Android sulla TV, e la società ha tirato in pochi mesi. E OUYA ha promesso di cambiare il gioco con la sua crowdfunded Android TV console prima di Razer acquistato la società. Né tolto e ora Razer dice il suo arresto loro negozi on-line dopo il 25 giugno del 2019. [9to5Google]
- Panico imminente PlayDate palmare è super carino: Provenienti dai creatori del grande Mac software come Coda e Comandi, e indie game creatori dietro di Katamari, è un adorabile piccolo palmare con una manovella. Guarda che il cavallo gif, urla di innocenza infantile in qualche modo. Il PlayDate è impostato per rilasciare in l’inizio del 2020, e a causa di un high-end schermo e altro hardware dovrebbe al dettaglio di circa $150. [The Verge]
- Tesla nuovo cambio di corsia tech non può essere sicuro: di Recente Tesla ha aggiornato il suo “pilota automatico software” con la capacità di modificare automaticamente le corsie. L’azienda dichiara che l’auto può fare questo più sicuri propria di un essere umano, ma Consumer Reports dice il contrario. In fase di test hanno trovato i veicoli provato a cambiare corsie pericolosi di buone maniere, la frenata a ignara punti e tagliando auto con poco spazio libero. Self-driving cars hanno una lunga, lunga strada da percorrere. [Consumer Reports]
- Las Vegas premi Noiosi Società di $49 milioni di contratto: Elon Musk dell’altra impresa, la Noiosa Società, ha lieta notizia. Las Vegas ha approvato un contratto per la costruzione di una metropolitana people mover tunnel, completo autonoma con veicoli elettrici. Se la promessa di ridurre a 15 minuti a piedi per 1 minuto detiene, al CES i partecipanti saranno grati. Nessuna parola su se il tunnel viene fornito con complementari lanciafiamme. [The Verge]
- Google Duplex funziona davvero bene, anche se non è realmente umano: Il New York Times ha dato una prova di Duplex, Google A. I. (Intelligenza Artificiale) la prenotazione di servizi di pianificazione prenotazioni per ristoranti. Quando l’A. I. in realtà ha fatto la chiamata, l’intero processo è stato impressionante, e l’umana sulla linea saprei dire. Ma a volte, non era una A. I. a tutti. Google dice che circa il 25% del Duplex chiamate sono state fatte da un essere umano, non il Duplex A. I., e anche quando l’A. I. non avviare la chiamata, un uomo interviene nel 15% dei casi. [New York Times]
- Spotify reset di qualche utente password a causa di attività sospette: Alcuni utenti di Spotify ricevuto la notifica che la società di reimpostare la propria password. In un modo un po ‘ vago chiarimento Techcrunch, la società spiega che il messaggio viene inviato ad alcuni utenti, per precauzione, e ha ricordato gli utenti di non riutilizzare le password su tutti i siti web. Senza ulteriori informazioni, si può solo immaginare quello che sta succedendo. [Spot]
- Apple ha inviato media invita per la WWDC keynote: WWDC si avvicina rapidamente, e siamo in grado di conoscere le ultime e più grande di aggiornamenti software per iOS, macOS, e così via. Apple ha inviato media inviti per il keynote che si terrà il 3 giugno. Se non hai il biglietto, beh, è troppo tardi. Basta guardare da casa, come il resto di noi. [MacRumors]
- GitHub Sponsor è come Patreon per aprire il codice sorgente: Github ha appena annunciato un nuovo “sponsor”, un programma che suoni che ricordano per Patreon o Contrazione sponsorizzazioni. È possibile scegliere uno sviluppatore open source per l’invio mensile doni, e gli sviluppatori possono aggiungere ricompensa livelli. Microsoft dice che vuole abbinare la pena di $5000 di donazioni di uno sviluppatore primo anno di partecipazione e di rinunciare a tutte le spese per i prossimi dodici mesi. Non è del tutto chiaro ma come ogni aspetto del lavoro, tuttavia, in modo da mantenere un occhio su di ulteriori dettagli a venire. [GeekWire]
E in chiusura, la NASA vorrebbe inviare il tuo nome su Marte. Con una breve scheda di presentazione, è possibile fornire il vostro nome inciso su un microchip, insieme con tutti coloro che si iscrive, che sarà poi collegato al Mars 2020 rover. Se si dà la NASA il tuo indirizzo email, riceverai comunicazioni per future opportunità di lavoro come questo. E come un piccolo bonus, la NASA vi darà un divertimento carta d’imbarco per presentare il tuo nome e oh, ma chi stiamo prendendo in giro, non stai leggendo questo, siete voi? Sei già la firma, e che abbiamo intenzione di fare ora. [NASA]