Windows 10 otrzymał nieoficjalną poprawkę. Łata lukę dnia zerowego

Chociaż problem oznaczony jako CVE-2021-34484 otrzymał już poprawkę w sierpniu tego roku, wszystko wskazuje, że aktualizacja była niewystarczająca. Podatność nadal pozwala na eskalację uprawnień lokalnych, a w konsekwencji – do częściowego przejęcia kontroli nad systemem.

Informacje serwisu Thread Post wskazują, że chociaż błąd pozostaje nierozwiązany przez Microsoft, to pojawiła nieoficjalna mikropoprawka z oPatch. Dzięki niej użytkownicy mogą zabezpieczyć swój system przed luką CVE-2021-34484.

Luka CVE-2021-34484

Problem został początkowo znaleziony przez specjalistę Abdelhamida Naceri. Co ciekawe, luka umożliwia atakującemu zalogowanemu lokalnie usunięcie folderu na komputerze. To, w połączeniu z faktem, że atakujący może również lokalnie zalogować się do tego samego komputera, sprawiało, że błąd został uznany za poważny i załatany przez Microsoft.

Firma oPatch zwraca jednak uwagę, że ten sam badacz po przejrzeniu wprowadzonej poprawki stwierdził, że jest ona niekompletna. Jego zdaniem, wystarczy niewielka zmiana w skrypcie ataku, aby haker dalej mógł pozyskać dostępy za pomocą tego samego błędu w systemie. Co więcej, potwierdził, że luka ma większy wpływ na system niż Microsoft podał to w swoim opisie.

Mikropoprawka do CVE-2021-34484

Praca badacza nie poszła jednak na marne. Jego odkrycie zostało wykorzystane do stworzenia mikropoprawki przez oPatch. Firma podaje, że poprawka rozszerza niekompletną kontrolę bezpieczeństwa z poprawki Microsoftu na całą ścieżkę docelową. Opisywany problem dotyczy użytkowników systemów Windows 10 (zarówno 32, jak i 64-bitowego) w wersjach v21H1, v20H2, v2004 i v1909. Podatny jest także 64-bitowy Windows Server 2019.

Thread Post próbował skontaktować się z Microsoftem w celu uzyskania informacji na kiedy planowana jest oficjalna poprawka do Windows 10. Firma nie odpowiedziała jednak na prośbę o komentarz.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Kolejna fala oszustw ,,na PGE”

SMS od PGE z informacją o zaplanowanym odłączeniu energii elektrycznej to popularna metoda cyberprzestępców. Oszuści, podszywając się pod Polską Grupę Energetyczną, chcą podstępem pozyskać nasze dane. Cel jest jeden.

Militaria

Alrosa – symbol rosyjskiej floty wraca na morze

Jedyny w swoim rodzaju rosyjski okręt podwodny o nazwie “Alrosa” powrócił na morze. Po modernizacji i zainstalowaniu nowego uzbrojenia ma być głównym elementem floty biorącej udział w agresji na Ukrainę. Rosjanie chwalą się, że jest w stanie zastąpić sześć okrętów. Dlaczego jest tak wyjątkowy?

Bezpieczeństwo

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa. Kobieta była przekonana, że odebrała połączenie od pracownika banku, a kolejno od stołecznego policjanta. Otworzyła przesłany za pomocą komunikatora link, i to wystarczyło, aby w efekcie końcowym oszuści wypłacili z jej rachunku bankowego zgromadzone środki oraz zaciągnęli pożyczkę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.