Најновије долази из Гоогле-овог Пројецт Зеро, који лоцира недостатке у системима као што је Мицрософт Виндовс и обећава да ће их објавити најкасније 90 дана након што обавести програмера. Тај тим је остао веран својој речи, објављујући експлоатације пре него што су заиста закрпљени, и открио је један за који тврди да је „најгори... у последње време“, како је рекао Тхе Извјештавају Хацкер Невс.
Препоручени видео снимци
Вест је стигла преко твита члана Пројецт Зеро Тависа Ормандија пре неки дан:
ја мислим @натасхенка и управо сам открио најгори Виндовс даљински извршни код у недавној меморији. Ово је лудо лоше. Извештај о путу. ???
— Тавис Орманди (@тависо) 6. маја 2017. године
У следећем твиту, Орманди је дао још неколико детаља о рањивости:
Аттацк ради против подразумеване инсталације, не мора да буде на истој ЛАН мрежи и може да се црви. ???
— Тавис Орманди (@тависо) 6. маја 2017. године
Пројекат Зеро неће открити никакве додатне детаље о недостатку, због сопственог рока за откривање од 90 дана. Претпоставља се да је Пројецт Зеро проследио информације Мицрософту, који је одмах покренуо процес одређивања како најбоље поправити експлоатацију. Као Арс Тецхница извештава, Мицрософт је брзо реаговао и издао исправку која се сада испоручује погођеним системима.
Сада када је исправка на путу до корисника, Сам Мицрософт је поделио опис поправке, који је званично назван ЦВЕ-2017-0290. Можда је иронично, мана је у Мицрософт Малваре Протецтион Енгине-у, иначе познатом као Виндовс Дефендер, у свим верзијама Виндовс-а почевши од Виндовс-а 7. Са незакрпљеним системом, свака датотека која је послата систему и затим скенирана од стране Виндовс Дефендер-а може се користити за напад који би се извршавао на нивоу локалног система — другим речима, са високо повишеним привилегијама — и могао би да преузме контролу над система.
Пошто се механизам за заштиту од малвера ажурира у позадини, корисници не морају ништа да раде да би закрпили погођени систем. Ажурирања се обично издају сваког месеца, али се могу послати и одмах кад год је потребно. Можете да проверите да ли је ваш систем поправљен тако што ћете отворити Виндовс Дефендер и отићи на Подешавања, онда О томе, и провера ваше верзије мотора. Ако је 1.1.13701.0 или новија, рањивост не утиче на вас.
Марк Цоппоцк/Дигитал Трендс
Како Арс Тецхница истиче, ова рањивост користи једну од слабости софтвера против малвера уопште. Пошто мора да ради на толико нивоа и на веома високим нивоима привилегија, да би заштитио систем, он је јединствено рањив на многе различите врсте напада. Мицрософт је имплементирао безбедносну функцију, Заштита контролног тока (ЦФГ), у оперативном систему Виндовс 8.1 и Виндовс 10 који помаже у заштити од напада на даљинско извршавање попут овог.
Мицрософт је био мета пројекта нула у прошлости, укључујући неке случајеве када је рањивост објављена пре него што је Мицрософт издао закрпу. Гугл тим је стога био мета неких општих забринутости око својих смерница, иако је вероватно успео да подстакне програмере да убрзано поправе недостатке у свом коду.
Наталие Силвановицх, још једна чланица Пројецт Зеро, одговорила је на управо ове врсте забринутости сопственим твитом:
Ако твит изазива панику или конфузију у вашој организацији, проблем није у твиту, проблем је у вашој организацији
— Натали Силванович (@натасхенка) 6. маја 2017. године
Ова конкретна рањивост служи као подсетник да се побринете да своје рачунаре ажурирате најновијим безбедносним закрпама и да осигурате да је и ваш софтвер малвера ажуран. Иако ова рањивост утиче на Виндовс, Аппле-ови МацОС корисници нису имуни на напад и требало би да предузму и сопствене мере предострожности.
Ажурирано 9.5.2017. од Марка Копока: Додате информације о рањивости и да је Мицрософт издао исправку.
Препоруке уредника
- Цхроме има безбедносни проблем – ево како га Гоогле решава
- Гоогле ствара „ДРМ за надзор интернета“, кажу критичари
- Рангирање свих 12 верзија Виндовс-а, од најгоре до најбоље
- ЦхатГПТ сада може бесплатно да генерише оперативне кључеве за Виндовс 11
- Виндовс 11 ће ускоро учинити РГБ периферне уређаје лакшим за коришћење
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
