MojWindows

Bezpečnostní výskumníci zo špecializovaného tímu Project Zero v polovici mesiaca zverejnili informácie o zraniteľnosti v prehliadači Microsoft Edge, nakoľko ju Microsoft nestihol opraviť v 104-dňovom termíne, ktorý mu bol poskytnutý.

Ako ale upozornil portál Neowin, tento mesiac došlo k pozoruhodnej situácii a 20. februára boli zverejnené podrobnosti o ďalšej zraniteľnosti, na ktorú bol redmondský gigant upozornený ešte v novembri minulého roka, no doteraz ju neopravil.

Na základe zverejnených informácií to ale vyzerá tak, že pri vzájomnej komunikácií medzi Googlom a Microsoftom došlo k nedorozumeniu, kedy vývojári informácie o dvojici chýb považovali za duplikát toho istého nedostatku, nakoľko má ísť o veľmi blízke záležitosti.

Prvú nahlásenú chybu tak opravili v rámci februárových aktualizácií, pričom ako vyriešené označili obidve hlásenia. Reálne ale druhá chyba v systéme zostala prítomná naďalej, pričom potenciálne sa dá zneužiť.

Nedostatok sa týka výhradne operačného systému Windows 10, kde pri práci so súbormi s pevným odkazom môže útočník zneužiť funkciu SvcMoveFileInheritSecurity a v konečnom dôsledku získať administrátorské práva. Našťastie chyba nie je ľahko zneužiteľná, nakoľko útok nie je možné vykonať vzdialene, ani prostredníctvom sandboxu, ktorým disponujú prehliadače.

Samotný Google, pod ktorý tím Project Zero spadá, oznámil, že ide o skutočne neobvyklú situáciu a informácie o zraniteľnostiach nezvyknú byť zverejňované tak krátko po sebe.

22.02.2018

+