Windows 10 otrzymał nieoficjalną poprawkę. Łata lukę dnia zerowego

Chociaż problem oznaczony jako CVE-2021-34484 otrzymał już poprawkę w sierpniu tego roku, wszystko wskazuje, że aktualizacja była niewystarczająca. Podatność nadal pozwala na eskalację uprawnień lokalnych, a w konsekwencji – do częściowego przejęcia kontroli nad systemem.

Informacje serwisu Thread Post wskazują, że chociaż błąd pozostaje nierozwiązany przez Microsoft, to pojawiła nieoficjalna mikropoprawka z oPatch. Dzięki niej użytkownicy mogą zabezpieczyć swój system przed luką CVE-2021-34484.

Luka CVE-2021-34484

Problem został początkowo znaleziony przez specjalistę Abdelhamida Naceri. Co ciekawe, luka umożliwia atakującemu zalogowanemu lokalnie usunięcie folderu na komputerze. To, w połączeniu z faktem, że atakujący może również lokalnie zalogować się do tego samego komputera, sprawiało, że błąd został uznany za poważny i załatany przez Microsoft.

Firma oPatch zwraca jednak uwagę, że ten sam badacz po przejrzeniu wprowadzonej poprawki stwierdził, że jest ona niekompletna. Jego zdaniem, wystarczy niewielka zmiana w skrypcie ataku, aby haker dalej mógł pozyskać dostępy za pomocą tego samego błędu w systemie. Co więcej, potwierdził, że luka ma większy wpływ na system niż Microsoft podał to w swoim opisie.

Mikropoprawka do CVE-2021-34484

Praca badacza nie poszła jednak na marne. Jego odkrycie zostało wykorzystane do stworzenia mikropoprawki przez oPatch. Firma podaje, że poprawka rozszerza niekompletną kontrolę bezpieczeństwa z poprawki Microsoftu na całą ścieżkę docelową. Opisywany problem dotyczy użytkowników systemów Windows 10 (zarówno 32, jak i 64-bitowego) w wersjach v21H1, v20H2, v2004 i v1909. Podatny jest także 64-bitowy Windows Server 2019.

Thread Post próbował skontaktować się z Microsoftem w celu uzyskania informacji na kiedy planowana jest oficjalna poprawka do Windows 10. Firma nie odpowiedziała jednak na prośbę o komentarz.

Podziel się postem :)

Najnowsze:

Nauka

Google Gemini – pogromca Chat GPT-4

Google od dawna inwestuje w sztuczną inteligencję, a wraz z pojawieniem się ChatGPT-3 od OpenAI, firma postanowiła wypuścić własne narzędzie o podobnej funkcjonalności. Bard, który zadebiutował w lipcu 2023 roku, okazał się być bardzo obiecującym rozwiązaniem, ale Google nie zamierza się na tym zatrzymywać.

Oprogramowanie

Nowy Firefox 120.0.1 – rozwiązanie problemu obciążenia procesora

Firefox, popularna przeglądarka internetowa, właśnie otrzymała aktualizację do wersji 120.0.1. Ta nowa wersja powinna zainteresować wszystkich użytkowników, którzy dostrzegali problem z nienaturalnym obciążeniem procesora. W niektórych przypadkach, teoretyczne obciążenie CPU mogło sięgać nawet 100 proc.

Bezpieczeństwo

Zalecana pilna aktualizacja Google Chrome z powodu wykrytej luki 0-day

Google Chrome wymaga natychmiastowej aktualizacji w związku z odkryciem kolejnej luki 0-day. Najnowsza aktualizacja przeglądarki zawiera poprawki, w tym kluczową łatkę dla luki oznaczonej jako CVE-2023-6345, której wykorzystywanie zostało zaobserwowane w praktyce przez atakujących.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *