O patch de segurança mensal da Microsoft lançado ontem não corrige totalmente uma grande vulnerabilidade do Windows. Esta é a conclusão a que chegaram os especialistas em segurança cibernética que trabalham no projeto Google Project Zero (GPZ).
Como um lembrete, os membros do GPZ estão procurando vulnerabilidades em produtos de software do Google e de outros fabricantes. Eles notificam os desenvolvedores sobre os bugs encontrados, dando-lhes 90 dias para corrigir o problema e, após esse período, publicam relatórios públicos sobre seu trabalho.
CVE-2020-1509 é uma das 120 vulnerabilidades corrigidas no patch que a Microsoft lançou ontem como parte do programa Patch Tuesday. Sua exploração permite que um invasor aumente os privilégios no Serviço de Subsistema de Autoridade de Segurança Local enviando uma solicitação especialmente criada.
O problema foi descoberto pelo pesquisador do GPZ James Forshaw e, em 5 de maio, a Microsoft tomou conhecimento dele. Embora a vulnerabilidade seja de gravidade moderada de acordo com a classificação do Google, o LSASS é um processo chave na autenticação do usuário durante a autorização em computadores Windows gerenciados por meio do Active Directory. De acordo com dados publicados, o problema afeta todas as versões com suporte do Windows 10.
A recusa do Google em estender o período durante o qual os dados sobre o problema não serão divulgados publicamente parece mais uma formalidade neste caso, já que os especialistas em GPZ estavam confiantes de que a vulnerabilidade seria corrigida com o lançamento do patch de segurança de agosto da Microsoft. James Forshaw descreveu o bug como “corrigido”, mas algumas horas depois adicionou um novo comentário afirmando que o problema aparentemente não foi totalmente resolvido.
O LSASS não fornece autenticação adequada ao acessar o Enterprise Authenticator por meio de logon único, disse Forshaw. Isso permite que qualquer aplicativo UWP colocado na caixa de proteção AppContainer seja autenticado com as credenciais do usuário por meio de SSO.
A Vivo apresentou os smartphones V70 e V70 Elite. Os novos modelos apresentam um design…
Na busca por um substituto para a memória tradicional produzida com a tecnologia CMOS, que…
O VK lançou um mecanismo de busca em sua plataforma VK Video usando um modelo…
O CEO da Meta, Mark Zuckerberg, testemunhou ontem em tribunal e respondeu a inúmeras perguntas…
Os planos ambiciosos de desenvolver sua própria infraestrutura de computação e criar modelos de IA…
Em entrevista ao jornal sul-coreano The Korea Economic Daily, o CEO da Nvidia, Jensen Huang,…