Proponha uma correção, faça uma sugestão
Google revela nova falha de segurança da Microsoft sem solução
A Google, com o Projeto Zero, procura encontrar vulnerabilidades e falhas de segurança em software, aplicações web e tudo o que esteja relacionado com tecnologia. A sua política para revelar estas falhas é muito firme e ao fim de 90 dias são tornadas públicas.
Isso voltou a acontecer e desta vez o visado é, novamente, a Microsoft, que tem assim mais uma falha do Windows 10 tornada pública, sem que tenha sido ainda resolvida.
A Google tem um vasto leque de descoberta de falhas de segurança pelo seu Projeto Zero. Mesmo que estejam por resolver, a Google torna-as públicas e desta vez mostrou que é o Windows 10 que está vulnerável. A Microsoft volta a ter uma vulnerabilidade exposta, sem que tenha planos definidos para a resolver.
A nova falha reportada pela Google no Windows 10
Do que é conhecido, esta falha pode levar a que qualquer utilizador do Windows 10, com permissões apenas de leitura num hardlink de ficheiro ou pasta, possa ver as suas permissões aumentadas e passar a ter permissões de escrita sobre esse conteúdo. A Microsoft garante que a exploração desta falha requer o acesso físico à máquina e, por isso, tem um grau reduzido de probabilidade de ser usada.
Esta falha é conhecida pela Microsoft desde o novembro do ano passado e fazia parte de 2 problemas que foram reportados. Um deles foi recentemente corrigido e este aguarda uma data e uma solução.
A repetição dos problemas do passado com a Microsoft
Esta situação de revelar falhas da Microsoft não é nova e ainda no último fim de semana aconteceu um caso semelhante, que afetava o Edge. O passado mostrou que a Google tem este comportamento não apenas com a Microsoft, mas com outras empresas. As críticas surgiram da Microsoft e, mesmo assim, a Google continua a aplicar a sua política.
Muitas vozes críticas têm mostrado o seu desagrado à Google, por expor os utilizadores. Muitos outros levantam questões sobre as vantagens que a Google tem sobre a sua concorrência ao revelar estas falhas. A verdade é que a gigante da Internet continua a investigar e a revelar as falhas, levando a que sejam corrigidas.
Este artigo tem mais de um ano
Loading ...
“Do que é conhecido, esta falha pode levar a que qualquer utilizador do Windows 10 possa ver as suas permissões aumentadas e passar a ser Administrador.”
Pelo que percebi, o user nao passa a ser administrador mas o um symbolic link (hardlink) desde que o user tenha permissões de leitura, na altura de o mover usando a SvcMoveFileInheritSecurity para uma pasta em que o user tenha permissões de escrita o sistema assume que o hardlink herda as permissões da pasta em que está dando a possibilidade de escrita para o ficheiro/pasta.
Sim lendo a descrição da falha o user não ganha permissões de Administrador, afecta somente o ficheiro. De uma forma geral um ficheiro que deveria ser só de leitura passa a ser de leitura/escrita
Expected Result:
The file move fails.
Observed Result:
The target file has had it’s security descriptor rewritten to allow access to everyone.
Não passa a ser administrador…. mas pode por exemplo aproveitar para alterar um ficheiro como o executavel de ajuda pelo cmd.exe e executa-lo a partir do login screen como system…..
Aí passa a ser admin sem grandes dificuldades 🙂
E o resto da explicação? É que o resultado final é uma subida de permissões.
A Google devia era de resolver as falhas no Android e Chrome por exemplo, são muitas, algumas já vêm desde a primeira versão do software!
Diga uma falha de segurança. Diga uma!
Falta de updates nos dispositivos Android ao qual licencia a sua utilização…
Meltdown no Android. Até agora nepia…
Pelo Pedro não conseguir dizer não quer dizer que elas não existam, apenas não vieram ao público
Software não tem plural..
[Informática] Conjunto de programas, processos, regras e, eventualmente, documentação, relativos ao funcionamento de um conjunto de tratamento de informação (por oposição a hardware).
Plural: softwares.
software e softwares são palavras inglesas!
Origem inglesa não significa que não possam estar defendidas na nossa língua e incorporadas no nosso dicionário. Por isso a língua é viva
http://www.zdnet.com/article/android-security-alert-googles-latest-bulletin-warns-of-47-bugs-10-critical/
o sujo falando do mal lavado o que este mundo chegou
Antes divulgarem as falhas que as esconder.
deviam é estar calados e não divulgar essas falhas para o publico em geral!!!! tratavam dos patches de segurança em segredo …. com estas divulgações só vão aguçar o “apetite” dos hackers e outros grupos interessados em as explorar …
Então agora é a google que vai resolver as falhas no sfoftware da microsoft?
eu não sou o pedro do comentário acima .. sou outro!!! e claro que não é a microsoft que vai resolver os problema dos outros!!!! cada um tem o seu papel e responsabilidade distintas …
Isso é que é a verdade vem a notícia ao público todos ficam a saber e todos a podem explorar, que entender bem do assunto. Algumas delas deviam de estar calados para o público em geral, e tratar do assunto internamente ou em conjunto com as marcas e modelos afectados. Porque muitas vezes isto tudo vem prejudicar a imagem das marcas e denegrir a confiança dos utilizadores que passam da utilização do A para o B ate o B nao ter nenhum problema como teve o A
isso mesmo, ora se eu souber que um determinado banco não cumpre as regras de segurança ou tem falhas, vai ter prioridade na minha lista de potenciais alvos de assalto …..
deviam ver melhor o artigo… a google da 90 dias (3 meses inteirinhos) para que a falha seja corrigida) se a microsoft n resolve o problema e porque nao quer ou nao lhe interessa.. e já que a microsoft não quer saber disso entao a google revela a falhar para que os utilizadores se protejam eles proprios
Na tua aldeia todos são craques informáticos e são todos capazes de desenvolver eles mesmos uma correcção de segurança. O problema é que lá é só invejosos e não partilham com aqueles que não sabem programar
se o ruim fosse aberto talvez eles podessem tapar os buracos….
Com tantas falhas, e não têm pressa para as resolver. E ainda falam e querem inteligência artificial. Sim, sim, com todas estas e muitas mais falhas, deve sair uma linda inteligência artificial. Tenham muita santa paciência, que a nós já nos vai faltando.
Não sou 100% oposto a este projeto da Google mas a política está errada.
Não só compromete o software mas também compromete os seus utilizadores que no caso do Windows, são imensos.
Esta parte da política serve apenas para desviar o olhar dos atacantes para as outras plataformas sejam elas (Linux, macOS, iOS ou Windows) ficando eles como se fossem os santos que não têm falhas de segurança.
A política é boa, é apenas uma forma de pressionar o fabricante a melhorar seu software. Quem ganha com essa política somos nós, utilizadores.
O Heartbleed foi revelado por esse programa, ou estou enganado?
É bom a Google divulgar, faz pressão nas marcas para corrigirem os problemas.
Se ficasse em segredo as marcas demoravam ainda mais tempo a corrigir.
A Microsoft desvaloriza a falha só porque requer acesso físico à máquina, cambada de idiotas, então onde está a segurança para as empresas? PCs expostos a utilizadores ignorantes ou mal intencionados podem trazer muitos problemas, especialmente na proteção de dados pessoais dos clientes dessas empresas, cartões de crédito, etc…
A Microsoft é um caos!
Mas quem disse que a Microsoft desvalorizou a falha ou que não está a tentar resolver a mesma?
Alem disso, haverá falhas mais graves que terão maior prioridade de resolução do que esta.
A Google é que devia tentar perceber, antes de divulgar as falhas, se as mesmas estão ou não a ser trabalhadas de forma a serem corrigidas.
Para a Google, as empresas tem de resolver as falhas que encontram em 3/4 meses após notificação, se não resolverem, azar… divulga e pronto. Isso não é bem assim, em sistemas complexos, as vezes, pequenas falhas demoram mais tempo a serem resolvidas do que grandes falhas.
Nem por isso. Se as falhas forem extremamente importantes e estejam relacionadas com malícia, eles deixam passar. Caso do Meltdown e do Spectre.
A questão aqui é:
A Microsoft esta a trabalhar na solução, informado a Google disso? Se informou que esta a trabalhar numa solução e a mesma esta a demorar mais tempo que o previsto, então a Google não devia divulgar essa falha ao publico antes da resolução.
A ideia e o conceito do projecto é bom… mas não se deve por tudo no mesmo saco. Uma coisa é a descoberta de uma falha e a empresa responsável esta-se a borrifar para a mesma não fazendo nada para resolver, então sim, deve ser exposta essa falha.
Outra coisa é uma falha estar a ser corrigida pela empresa responsável e mesmo que passe do tempo previsto, não deve ser exposta, até a mesma ser corrigida, ou deixar de haver evidencias que a empresa responsável não esta a fazer nada.
A publicação de uma falha não resolvida É SEMPRE um acto irresponsável e coloca imediatamente milhões de pessoas em risco.
Deveria haver sim penalização para empresas que não resolvem as falhas mas nunca a sua publicação antes de estar resolvida.
Infelizmente nos negócios milionários vale tudo!
O artigo refere que “requer o acesso físico à máquina e, por isso, tem um grau reduzido de probabilidade de ser usada”.
Não é uma desvalorização?
Eu conheço os sistemas complexos da Microsoft, um autêntico caos que estoira nas mãos do cliente que paga e a Microsoft não assume consequências.
Em que contexto a Microsoft disse isso? Certamente depois da revelação por parte da Google, e para tranquilizar os clientes. Agora, isso não quer dizer que a mesma não terá a ser corrigida.
exacto… tranquilizar… esta tudo optimo nao se preocupem.. se n entrarem por ai entram por ali
Só usando chapéus de folha de alumínio é podem ter a certeza que estão protegidos… Força !
Ainda bem que uso Linux Fedora 🙂 ehehe ::) Último Windows que usei foi o Windows Millenium e só durante 10 dias 🙂 ahaha
A Google que se dedique a corrigir os seus problemas de políticas para developers e utilizadores era mais importante. Só não há solução para a morte. Dasss….