Новости Software

Эксперты: Microsoft не устранила серьёзную уязвимость Windows 10

Выпущенный вчера Microsoft ежемесячный патч безопасности не до конца исправляет одну из серьёзных уязвимостей Windows. К такому выводу пришли специалисты по кибербезопасности, работающие в рамках проекта Google Project Zero (GPZ).

Напомним, участники GPZ занимаются поиском уязвимостей в софтверных продуктах Google и других производителей. Об обнаруженных багах они уведомляют разработчиков, предоставляя им 90 дней на устранение проблемы, а по истечении этого срока публикуют публичные отчёты о своей работе.

Одной из 120 уязвимостей, исправления которых включены в патч, который Microsoft запустила вчера в рамках программы Patch Tuesday, является CVE-2020-1509. Её эксплуатация позволяет злоумышленнику с помощью отправки специально созданного запроса повысить привилегии в сервисе проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service).

Проблему обнаружил исследователь GPZ Джеймс Форшоу (James Forshaw), а 5 мая о ней стало известно Microsoft. Хотя уязвимость по классификации Google имеет среднюю степень серьёзности, LSASS является ключевым процессом при аутентификации пользователей во время авторизации на компьютерах с Windows, управляемых через Active Directory. Согласно опубликованным данным, проблема затрагивает все поддерживаемые версии Windows 10.   

Отказ Google продлить период, в течение которого данные о проблеме не будут раскрыты публично, в данном случае выглядит скорее формальностью, поскольку специалисты GPZ были уверены в том, что уязвимость будет исправлена с выходом августовского патча безопасности Microsoft. Джеймс Форшоу назвал ошибку «исправленной», но через несколько часов добавил новый комментарий, в котором говорилось, что, по всей видимости, проблема решена не до конца.

По словам Форшоу, LSASS не обеспечивает должную проверку подлинности при получении доступа к Enterprise Authenticator через функцию единого входа. Благодаря этому, любое UWP-приложение, помещённое в изолированную программную среду AppContainer, может проходить сетевую аутентификацию с учётными данными пользователя через функцию единого входа.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Новая статья: Обзор камеры Canon EOS-1D X Mark III: прирученный монстр 3 ч.
Смарт-часы vivo Watch поступят в продажу в России в начале 2021 года 3 ч.
Новая статья: Обзор Honor Pad V6: первый планшет Honor в России — и сразу с Wi-Fi 6 5 ч.
Amazon обновила ТВ-брелок Fire TV Stick и представила его более доступную версию за $30 5 ч.
Киберпанк уже рядом: Amazon представила автономную летающую камеру видеонаблюдения для дома 5 ч.
Seagate анонсировала открытую СХД CORTX и референсную платформу Lyve Drive Rack с 20-Тбайт HAMR-дисками 7 ч.
Amazon представила обновлённые умные колонки Echo и Echo Dot. Старшая модель оснащена продвинутым ИИ-процессором 7 ч.
Supermicro представила компактный GPU-сервер для суровых условий работы 8 ч.
Kioxia Ethernet SSD: мечта архитектора систем хранения данных 8 ч.
Сегодня Blue Origin испытает компоненты посадочной системы корабля, который доставит людей на Луну в 2024 году [Обновлено] 9 ч.