Teknik

Google avslöjar säkerhetsfel i Windows 10 S trots Microsofts invändningar

Google avslöjar säkerhetsfel i Windows 10 S trots Microsofts invändningar

Googles Project Zero (GPZ) forskare stod bakom upptäckten av Meltdown och Spectre sårbarheter i ett brett spektrum av processorer tidigare i år. Nu har de meddelat att Microsofts Windows 10 S lider av en '' medium stränghet '' utnyttjande som potentiellt kan tillåta användare att köra godtycklig kod för att jailbreak vad som i huvudsak är ett låst operativsystem. Det verkar inte finnas någon fjärrkod för att utnyttja felet just nu, vilket innebär att potentiella hackare behöver fysisk åtkomst till enheterna för att låsa upp operativsystemet.

Forskarna säger att sårbarheten härrör från hur Windows 10 S verifierar identiteten hos komponenter med hög privilegium. Enligt den högtekniska anmärkningen från GPZ:

”När ett .NET COM-objekt instansieras används CLSID som skickas till mscorees DllGetClassObject bara för att slå upp registreringsinformationen i HKCR. Vid denna punkt ... kastas CLSID och .NET-objektet skapas. Detta har en direkt inverkan på klasspolicyn eftersom den tillåter en angripare att lägga till registernycklar (inklusive till HKCU) som skulle ladda en godtycklig COM-synlig klass under en av de tillåtna CLSID: erna. Eftersom .NET inte bryr sig om .NET-typen har den specifika GUID kan du använda detta för att starta upp godtycklig kodkörning genom att missbruka något som DotNetToJScript ”

Intressant är att Google och Microsoft till synes har haft lite av att falla ut över offentliggörandet av sårbarheterna. Google säger att de meddelade Microsoft om upptäckten den 19 januari, varefter Redmond-jätten hade 90 dagar på sig att korrigera bristerna. Som det visar sig planerade Microsoft ursprungligen att släppa korrigeringen som en del av May Patch Tuesday. Google kom dock inte ombord med tidsramen eftersom det var långt bortom dess 90-dagars deadline.

Redmond-jätten bad sedan enligt uppgift om en 14-dagars deadline-förlängning med ett löfte om att rulla ut korrigeringsfilen med kommande Redstone 4-uppdatering, men Google avvisade återigen Microsoft med hänvisning till avsaknaden av en specifik ETA, vilket ledde till oenigheten.

Sociala media Wikimedia Fundraiser 2011 samlar in 20 miljoner dollar
Wikimedia Fundraiser 2011 samlar in 20 miljoner dollar
Wikimedia Foundation meddelade på sin blogg att de har samlat in rekordbrytande 20 miljoner dollar från mer än 1 miljon givare i nästan alla länder i ...
Hur Hur man liveströmmer på Facebook från en GoPro-kamera
Hur man liveströmmer på Facebook från en GoPro-kamera
Vi har redan pratat långt om hur du kan liveströmma från en GoPro Hero 4 till Periscope, och även om Twitter är en bra plattform används Facebook Live...
Hur Hur man liveströmmer till Facebook-sidor från PC eller Mac
Hur man liveströmmer till Facebook-sidor från PC eller Mac
Tidigare har vi redogjort för hur du kan använda en GoPro-kamera för att liveströmma till Facebook. Men den metoden fungerade bara för att strömma liv...