Ekspert ds. bezpieczeństwa ujawnia poważną lukę w Windows
Autor: Wedelek | źródło: HotHardware | 19:18
(15)
Ekspert ds. bezpieczeństwa o nicku SandboxEscaper postanowił się przebranżowić odchodząc przy tym ze sceny z przysłowiowym „hukiem”. Aby zapewnić sobie 5 minut sławy SandboxEscaper opublikował w sieci szczegóły wykrytej w systemach Microsoftu luki typu zero-day dołączając link do repozytorium w serwisie GitHub, zawierającym mechanizmy pozwalające na jej wykorzystanie. Zazwyczaj w takich przypadkach odkryte błędy są najpierw zgłaszane producentowi by ten miał czas na ich załatanie, a dopiero później przekazuje się do opinii publicznej informację o ich istnieniu.
Dzięki temu maleje ryzyko wykorzystania luki w niecnych celach. Tym razem stało się jednak inaczej, co stanowi olbrzymie zagrożenie dla wszystkich posiadaczy Windowsa 10 oraz Windows Server 2016, bo podatność obu tych systemów została potwierdzona przez Willa Dormana, pracownika CERT/CC.
Niebezpieczny błąd jest związany z kodem harmonogramu zadań, który niepoprawnie obsługuje interfejs ALPC i w rezultacie daje wszystkim użytkownikom dostęp do uprawnień, które powinno mieć jedynie konto SYSTEM. Chyba nikomu z naszych czytelników nie trzeba tłumaczyć z jak dużym niebezpieczeństwem się to wiąże.
Niestety nie pozostaje nam nic innego jak tylko czekać aż Microsoft opracuje i dostarczy użytkownikom stosowną poprawkę. Sam SandboxExplorer planuje obecnie skupić się na rozwoju bloga traktującego o podróżach
Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit.
Wedelek (autor: kombajn4 | data: 29/08/18 | godz.: 19:53) ty ślepy jesteś? To jest kobieta a newsa napisałeś jakby to był facet
@up (autor: Wedelek | data: 29/08/18 | godz.: 20:08) napisałem bezpłciowo - ekspert jako pełniona funkcja. Poza tym nick używany przez Panią też jest rodzaju męskiego i dlatego taka forma.
raczej facetka.... (autor: Nepomucen | data: 29/08/18 | godz.: 20:11) I'm also transgender. But my transition so far has been really difficult (social isolation, lack of support.. etc), my voice is still really manly and I don't really pass at all (which probably weirds people out.. so I would rather say it upfront so I don't need to have anxiety about it, I have alot of anxiety issues). I also have not been able to change my name yet, legally its still "Thomas".
Poważna luka to jest na dzień dobry (autor: Remek | data: 29/08/18 | godz.: 22:09) Kiedy po wpisaniu złego hasła system automatycznie podpowiada pierwszy i ostatni znak...
Cały czas mówię, że Windows 10 jest (autor: CharlieBrown | data: 30/08/18 | godz.: 05:13) dla masochistów. Brawo dla niej (niego).
@02 i 03 (autor: kombajn4 | data: 30/08/18 | godz.: 07:42) No widzicie ludzie jak to się w dzisiejszych czasach można pomylić patrząc na zdjęcie.... Jak to powiedział jeden stary marynarz "Jak przypniesz rudy ogon do szczura to nie wyjdzie wiewiórka tylko szczur z rudym ogonem"
@05 a ja jeszcze raz się pytam jaką widzisz alternatywę? Linux czy 9 letni Windows 7 bez wsparcia technicznego, sterowników i którego nie da się normalnie zainstalować bez grzebania?
nie jest istotna płeć SandboxEscapera (autor: Qjanusz | data: 30/08/18 | godz.: 09:03) ważne jest to, że jest to idiota i jeden z największych szkodników w IT
Błędy zdarzają się wszędzie, w krzemie, w sofcie, w samym człowieku. Są zasady zgłaszania takich błędów, poprawiania bezpieczeństwa, a nawet zarabiania na ich ujawnianiu. Ale ujawnić bardzo poważny błąd, udostępnić narzędzie do jego wykorzystania i zwinąć się w "chwale"??? Serio? Mentalność taliba terrorysty! I co dalej? 12 wirtualnych dziewic w nagrodę?
Niezależnie od płci tego osobnika, życzę mu rozgrzanej lutownicy w zadzie. Za czystą głupotę.
@Qjanusz (autor: pandy | data: 30/08/18 | godz.: 13:02) Oczywiście nie masz racji - zasady są dobrowolne a Microsoft bierze ciężką kasę by wykrywać takie luki zanim zostaną odkryte przez innych którzy mogą choć nie muszą informować o tym producenta. Luka dotyczy Windows 10 wiec użytkownicy innych systemów operacyjnych są bezpieczni - tyle ode mnie.
Gdy coś się stanie to zawsze możesz pozwać Microsoft... a prawda zapomniałem nie możesz bo wzięli kasę ale umyli raczki - no cóż jak się zgodziłeś to teraz nie narzekaj. Komputer z Windows 10 odłącz od sieci - kup sobie jakiegoś notebooka i do korzystania z sieci zainstaluj na nim i używaj Linux. Powodzenia - sam zgodziłeś się na bycie betatesterem - świadomie - Microsoft ścina koszty i oferuje produkt w wersji nieustannej bety.
@ 7 (autor: Muchomor | data: 30/08/18 | godz.: 13:33) Ten wpis na twatterze wygląda, jakby sama procedura podawania do MSFT była upierdliwa i jakby MS robił łachę, że to przyjmie. Jeśli tak, to nie dziwię się SandboxEscaperowi.
@7. (autor: Mariosti | data: 30/08/18 | godz.: 14:13) Jeśli mieszka w stanach to definitywnie może liczyć na postawienie mu poważnych zarzutów, bo takie działania mają zdecydowane znamiona zachowań przestępczych.
Jak mnie śmieszy ta troska o stan finansów korporacji (autor: pandy | data: 30/08/18 | godz.: 14:50) Osoba która wywołała tę falę troski o dochód Microsoftu jest obywatelem Belgi...
#9. (autor: Qjanusz | data: 30/08/18 | godz.: 14:52) "I do not fucking care about life anymore"
Jak dla mnie, to kompletny brak odpowiedzialności spotkał się z bardzo poważnym załamaniem nerwowym. Niech odchodzi, nie robiąc krzywdy innym.
No cóż... (autor: Shamoth | data: 31/08/18 | godz.: 08:53) Jedno jest pewne, przemiana płciowa chyba zmierza w dobrym kierunku, sądząc po tonie i zawartości merytorycznej to PMS... Ciekawi mnie czy po tygodniu lub dwóch zreflektuje się i będzie sprostowanie...
@8 taaaak... (autor: Takkyu | data: 31/08/18 | godz.: 21:58) i co zrobi na tym Linuksie? Jak mu wyskoczy "failed to initialize HAL" lub coś podobnego to wróci do Windowsa...
@14 To samo co robi w Windows (autor: pandy | data: 2/09/18 | godz.: 00:57) może poza graniem online... pisałem o dostępie do Internetu... na maszynie offline można pracować nawet dziś...
D O D A J K O M E N T A R Z
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
