Windows 10, Google scopre due falle di sicurezza non critiche
21 Febbraio 201
Due falle di sicurezza su Windows 10 sono emerse negli ultimi giorni: una, il cui rischio è definito "alto", riguarda il sistema operativo vero e proprio, l'altra, a rischio "medio", interessa il browser internet Edge. Entrambe sono state scoperte dal team di ricercatori di Google noto come Project Zero; i dettagli sono stati pubblicati online perché Microsoft non è riuscita a correggerle entro 90 giorni (più estensione di 14 su richiesta di Microsoft) da quando ne è stata informata.
La vulnerabilità di Windows 10 è stata notificata a Microsoft il 10 novembre. È stata verificata solo su Windows 10 1709 "Fall Creators Update", mentre per ora non ci sono conferme sulle precedenti versioni. È un attacco di tipo privilege escalation, in cui un utente normale riesce ad ottenere in modo illecito i permessi da utente amministratore. Sfrutta un errore nella RPC SvcMoveFileInheritSecurity che permette di assegnare arbitrariamente un descrittore di sicurezza a un file specificato. Il rischio è classificato "alto", ma non "critico" perché è necessario l'accesso fisico al sistema per infettarlo. Una correzione era stata rilasciata con il Patch Tuesday di febbraio, ma Google ha verificato che non era efficace.
La vulnerabilità di Edge è invece stata notificata a Microsoft il 17 novembre. Riguarda alcune modifiche apportate al motore di rendering in occasione di Windows 10 1703 "Creators Update". L'obiettivo era diminuire l'esecuzione di codice arbitrario, ma Google ha dimostrato che è relativamente facile aggirarlo. I dettagli della questione sono molto tecnici, chi fosse interessato può approfondire QUI. Microsoft ha già dichiarato che correggerà la falla con il Patch Tuesday di marzo.
(https://windows.hdblog.it/2018/02/21/windows-10-falle-edge-1709-google-project-zero/?utm_source=dlvr.it&utm_medium=gplus)
Nessun commento:
Posta un commento