Technologien

Google deckt trotz der Einwände von Microsoft Sicherheitslücken in Windows 10 S auf

Google deckt trotz der Einwände von Microsoft Sicherheitslücken in Windows 10 S auf

Die Project Zero (GPZ) -Forscher von Google haben die Meltdown- und Spectre-Schwachstellen in einer Vielzahl von Prozessoren Anfang dieses Jahres entdeckt. Jetzt haben sie angekündigt, dass Windows 10 S von Microsoft unter einem Exploit mit mittlerem Schweregrad leidet, mit dem Benutzer möglicherweise beliebigen Code ausführen können, um einen Jailbreak eines im Wesentlichen gesperrten Betriebssystems durchzuführen. Derzeit scheint es keinen Remote-Code zu geben, mit dem der Fehler ausgenutzt werden kann. Dies bedeutet, dass potenzielle Hacker physischen Zugriff auf die Geräte benötigen, um das Betriebssystem zu entsperren.

Die Forscher sagen, dass die Sicherheitsanfälligkeit darauf zurückzuführen ist, wie Windows 10 S die Identität von Komponenten mit hohen Berechtigungen überprüft. Nach dem hochtechnischen Hinweis der GPZ:

„Wenn ein .NET COM-Objekt instanziiert wird, wird die an DllGetClassObject von mscoree übergebene CLSID nur zum Nachschlagen der Registrierungsinformationen in HKCR verwendet. Zu diesem Zeitpunkt wird die CLSID weggeworfen und das .NET-Objekt erstellt. Dies hat direkte Auswirkungen auf die Klassenrichtlinie, da ein Angreifer Registrierungsschlüssel (einschließlich HKCU) hinzufügen kann, die eine beliebige COM-sichtbare Klasse unter einer der zulässigen CLSIDs laden würden. Da es .NET dann egal ist, ob der .NET-Typ über diese spezifische GUID verfügt, können Sie diese verwenden, um die Ausführung von beliebigem Code zu booten, indem Sie etwas wie DotNetToJScript missbrauchen. “

Interessanterweise haben sich Google und Microsoft anscheinend ein wenig über die Offenlegung der Sicherheitslücken in der Öffentlichkeit gestritten. Google hat Microsoft am 19. Januar über seine Entdeckung informiert. Danach hatte der Redmond-Riese 90 Tage Zeit, um die Fehler zu beheben. Wie sich herausstellte, plante Microsoft ursprünglich, das Update als Teil des Mai-Patch-Dienstags zu veröffentlichen. Google hat den Zeitrahmen jedoch nicht eingehalten, da dies weit über die 90-Tage-Frist hinausging.

Der Redmond-Riese forderte Berichten zufolge eine Verlängerung der Frist um 14 Tage mit dem Versprechen, den Patch mit dem bevorstehenden Redstone 4-Update herauszubringen. Google lehnte Microsoft jedoch erneut ab, da es keine spezifische ETA gab, was zu Meinungsverschiedenheiten führte.

Sozialen Medien Google startet Google Drive und Google+ Kommentare im April
Google startet Google Drive und Google+ Kommentare im April
Diesen April wird Google mit Spannung erwartetes Google Drive oder GDrive, Googles Version von Dropbox, auf den Markt bringen. Es wird erwartet, dass...
Wie man So beheben Sie PC-Abstürze und erkennen häufig auftretende Windows-Probleme
So beheben Sie PC-Abstürze und erkennen häufig auftretende Windows-Probleme
Es kann sehr herzzerreißend sein, wenn Ihr PC ohne besonderen Grund plötzlich einfriert oder abstürzt. Der Moment wird erschreckender, wenn ihm der ge...
Wie man So erstellen Sie Online-Formulare und Umfragen mit Google Forms (Handbuch)
So erstellen Sie Online-Formulare und Umfragen mit Google Forms (Handbuch)
Formulare und Umfragen sind eine der besten Möglichkeiten, Daten zu erfassen. Dank Online-Formularen können wir jetzt mit geringem Aufwand problemlos ...