Especialistas: a Microsoft não corrigiu uma vulnerabilidade grave no Windows 10

O patch de segurança mensal da Microsoft lançado ontem não corrige totalmente uma grande vulnerabilidade do Windows. Esta é a conclusão a que chegaram os especialistas em segurança cibernética que trabalham no projeto Google Project Zero (GPZ).

Como um lembrete, os membros do GPZ estão procurando vulnerabilidades em produtos de software do Google e de outros fabricantes. Eles notificam os desenvolvedores sobre os bugs encontrados, dando-lhes 90 dias para corrigir o problema e, após esse período, publicam relatórios públicos sobre seu trabalho.

CVE-2020-1509 é uma das 120 vulnerabilidades corrigidas no patch que a Microsoft lançou ontem como parte do programa Patch Tuesday. Sua exploração permite que um invasor aumente os privilégios no Serviço de Subsistema de Autoridade de Segurança Local enviando uma solicitação especialmente criada.

O problema foi descoberto pelo pesquisador do GPZ James Forshaw e, em 5 de maio, a Microsoft tomou conhecimento dele. Embora a vulnerabilidade seja de gravidade moderada de acordo com a classificação do Google, o LSASS é um processo chave na autenticação do usuário durante a autorização em computadores Windows gerenciados por meio do Active Directory. De acordo com dados publicados, o problema afeta todas as versões com suporte do Windows 10.

A recusa do Google em estender o período durante o qual os dados sobre o problema não serão divulgados publicamente parece mais uma formalidade neste caso, já que os especialistas em GPZ estavam confiantes de que a vulnerabilidade seria corrigida com o lançamento do patch de segurança de agosto da Microsoft. James Forshaw descreveu o bug como “corrigido”, mas algumas horas depois adicionou um novo comentário afirmando que o problema aparentemente não foi totalmente resolvido.

O LSASS não fornece autenticação adequada ao acessar o Enterprise Authenticator por meio de logon único, disse Forshaw. Isso permite que qualquer aplicativo UWP colocado na caixa de proteção AppContainer seja autenticado com as credenciais do usuário por meio de SSO.

avalanche

Postagens recentes

“É assim que a corrida pela IA está perdida”, assessor da Casa Branca critica regulamentação do setor

\nO investidor em inteligência artificial e conselheiro da Casa Branca David Sacks alertou a liderança…

43 minutos atrás

“É assim que a corrida pela IA está perdida”, assessor da Casa Branca critica regulamentação do setor

\nO investidor em inteligência artificial e conselheiro da Casa Branca David Sacks alertou a liderança…

43 minutos atrás

Roblox agora possui vibecoding integrado – os usuários poderão criar jogos usando IA

A plataforma Roblox introduziu o recurso Build, que permite aos usuários criar jogos em seus…

43 minutos atrás

Modelo chinês Kimi K3 questiona liderança dos EUA em IA

O revolucionário modelo chinês de inteligência artificial da Moonshot AI, Kimi K3, alcançou as soluções…

1 hora atrás

Apple Music aumenta preços devido ao ‘aumento dos custos de licenciamento’

\nO serviço de streaming de música Apple Music anunciou aumentos de preços em todo o…

1 hora atrás

Arábia Saudita obtém aprovação da UE para comprar Electronic Arts

\nUm grupo de investidores, incluindo o Fundo Soberano da Arábia Saudita, espera receber a aprovação…

2 horas atrás