  |
Za poslednú hodinu: 85 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
Google to Microsoftu spravil zas, zverejnil neopravenú zraniteľnosť vo Windows 10
bezpečnosť
Google má svoj vlastný bezpečnostný tím Google Project Zero hľadajúci bezpečnostné chyby aj v produktoch iných spoločností a následne ich nahlasujúci tvorcom. Po nahlásení dáva tvorcom štandardne 90 dní na opravenie chýb a pokiaľ nie sú opravené do tohto termínu, aj tak o nich zverejní kompletné informácie. Tentokrát Google identifikoval chybu v technológii UMCI, User Mode Code Integrity, ktorej úlohou je dovoliť spúšťanie len overeného a povoleného kódu. Technológia sa využíva na zabezpečenie funkčnosti Device Guard a prítomná je napríklad vo verzii respektíve po novom móde Windows 10 S. Táto verzia pomocou tejto technológie dovoľuje spúšťanie iba aplikácií z Windows obchodu a toto obmedzenie má plniť dve funkcie, zabraňovať spúšťaniu škodlivého kódu a udržiavať inštaláciu operačného systému v čo najlepšej kondícii. Bezpečnostný tím Google ale identifikoval zraniteľnosť, ktorá umožňuje cez zraniteľnosť v .NET obísť túto ochranu a zabezpečiť aj spúšťanie iného kódu. Zraniteľnosť neumožňuje preniknutie do Windows ani technické zvýšenie užívateľských oprávnení, pre zneužitie je už potrebná schopnosť vykonávať útočníkom zvolený kód. Kým to sa dá dosiahnuť napríklad zneužitím prípadných zraniteľností v prehliadači aktuálne pri návšteve podvrhnutej stránky, identifikovaná zraniteľnosť obídením technológie UMCI umožňuje trvalé infikovanie zariadenia. Keďže okrem iného v .NET sú stále neopravené dve chyby umožňujúce obísť Device Guard označuje Google chybu za stredne závažnú. Spoločnosti Microsoft chybu Google nahlásil 19. januára. Už vo februári Microsoft avizoval, že ju nestihne opraviť ani do apríla kvôli "nepredvídaným vzťahom v kóde". Google lehoty predlžuje o maximálne 14 dní aby napríklad spoločnosti mohli opraviť problémy v štandardný deň vydávania aktualizácií. Keďže Microsoft ale avizoval že chybu opraví až v máji respektíve v nešpecifikovaný termín pri vydaní novej verzie Windows 10 1803, tento týždeň Google zverejnil detaily chyby. Prestrelka v oblasti bezpečnosti medzi Google a Microsoftom celkovo trvá už niekoľko rokov, keď Google viackrát zverejnil zraniteľnosti v Microsoft produktoch potom ako ich Microsoft v lehote neopravil. Microsoft tento postup kritizoval, Google na ňom trvá a považuje ho za postup zlepšujúci bezpečnosť. V poslednom období sa prestrelka týkala špecificky bezpečnosti prehliadačov, keď na jeseň Microsoft zaútočil širšie na bezpečnosť Chrome s vyzdvihovaním lepšej bezpečnosti Edge napríklad vďaka technológii ACG, Arbitrary Code Guard. Google mu to vrátil vo februári, keď informoval o chybe umožňujúcej ACG v Edge obísť a to pred jej opravením Microsoftom z dôvodu nestihnutia lehoty. Technické detaily aktuálnej zraniteľnosti je možné nájsť v tomto popise Google. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
