21 Φεβρουαρίου 2024

Techlog.gr

Χρήσιμα νέα τεχνολογίας

Microsoft: Με την ενημέρωση Windows 10 1903 έσπασε όλα τα sandbox του προγράμματος περιήγησης Chromium

1 min read
hacker1 | Techlog.gr - Χρήσιμα νέα τεχνολογίας
0
(0)

Loading

Η Google ανακάλυψε ότι κάποια στιγμή με τα Windows 10 1903 η Microsoft εισήγαγε ένα σφάλμα στο λειτουργικό σύστημα, το οποίο έσπασε τα sandbox για όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium.

Η εξήγηση είναι μάλλον πολύ περίπλοκη για ένα απλό θνητό, αλλά στην ουσία πρόκειται για μία αλλαγή γραμμής στον κώδικα του  λειτουργικού συστήματος που σχετίζεται με την εκχώρηση διακριτικών ασφαλείας.

NewToken-> ParentTokenId = OldToken-> TokenId;

άλλαξε σε

NewToken-> ParentTokenId = OldToken-> ParentTokenId;

Η security advisory της Microsoft (CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability) το εξηγεί πιο σύντομα:

A security feature bypass vulnerability exists when Windows fails to properly handle token relationships.

An attacker who successfully exploited the vulnerability could allow an application with a certain integrity level to execute code at a different integrity level, leading to a sandbox escape.

Όπως σημειώνει η Microsoft (και το Project Zero της Google ανακάλυψε) η αλλαγή επιτρέπει στους χάκερ να παρακάμψουν το Sandbox Chromium και να εκτελέσουν αυθαίρετο κώδικα.

Ευτυχώς, η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα ασφαλείας (KB4549951) στο Patch της Τρίτης αυτού του μήνα, αν και παρατηρείται ότι η εν λόγω ενημέρωση προκαλεί αυτήν τη στιγμή σημαντικά προβλήματα.

Google notes that your security is only as good as your weakest link, which in this case was Windows.

Η Google ωστόσο σημειώνει ότι η ασφάλειά σας είναι τόσο καλή όσο και ο πιο “αδύναμος κρίκος”, ο οποίος σε αυτήν την περίπτωση ήταν τα Windows.

Διαβάστε την πλήρη και λεπτομερή ανάρτηση ιστολογίου της Google εδώ.

[Via]

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

About The Author

Δείτε ακομα