Sau khi tiết lộ lỗ hổng trên trình duyệt Edge mà Microsoft không thể khắc phục được, mới đây Goolge lại công bố lỗ hổng trên Windows 10 Fall Creators Update (v1709). Đáng nói là lỗ hổng này cũng có thể ảnh hưởng đến các phiên bản Windows khác.
James Forshaw, nhà nghiên cứu bảo mật thuộc dự án bảo mật Project Zero của Google cho biết việc nâng cấp lỗ hổng đặc quyền có thể bị khai thác vì cách mà hệ điều hành xử lý các cuộc gọi tới Advanced Local Procedure Call (ALPC).
Điều này có nghĩa là người dùng chuẩn có thể có được quyền Admin trên máy tính Windows 10, trong trường hợp nếu cuộc tấn công xảy ra, kẻ tấn công có thể nắm toàn bộ quyền kiểm soát hệ thống bị ảnh hưởng.
Tuy nhiên theo Neowin lưu ý, đây là lỗi thứ 2 được phát hiện trong cùng một chức năng và cả 2 lỗi được đánh dấu là lỗi 1427 và 1428, đã được Microsoft báo cáo vào ngày 10/11/2017. Microsoft cho biết họ đã sửa các lỗi này trong bản cập nhật Patch Tuesday được phát hành vào tháng 2/2018, tuy nhiên chỉ có lỗi 1427 đã được giải quyết.
Google công bố lỗ hổng trên Windows 10 Fall Creators Update
Không thể khai thác từ xa
Mặc dù lỗ hổng vẫn chưa được khắc phục, và Microsoft không xem đây là lỗ hổng nghiêm trọng. Theo các nhà nghiên cứu, lỗ hổng này là do việc khai thác tính dễ bị tổn thương liên quan đến các bước bổ sung và không thể thực hiện từ xa, trừ khi trước đó kẻ tấn công đã truy cập các hệ thống đích bằng cách tận dụng lỗ hổng khác.
"Để thực hiện khai thác, bạn phải chạy mã trên hệ thống ở cấp độ đặc quyền người dùng bình thường. Không thể tấn công từ xa (không tấn công toàn bộ một lỗ hổng để thực thi mã từ xa) và cũng không thể sử dụng sandbox như được sử dụng trên trình duyệt Edge và Chrome", theo Forshaw.
Bạn đọc tham khảo: cài Windows 10 Fall Creators Update tại đây
Bản cập nhật bảo mật Windows tiếp theo sẽ được phát hành vào ngày 13/3 tới, như một phần của chu kỳ Patch Tuesday. Tuy nhiên sau khi Google công bố lỗ hổng trên Windows 10 Fall Creators Update với lỗ hổng dễ bị tổn thương đã được công khai, Microsoft có thể nhanh chóng phát hành các bản sửa lỗi cho các phiên bản Windows bị ảnh hưởng sớm hơn.
https://thuthuat.taimienphi.vn/google-cong-bo-lo-hong-tren-windows-10-fall-creators-update-31838n.aspx
Nếu bạn là một lập trình viên và đang tìm hiểu về .NET Framework cũng như các ngôn ngữ khác, chắc chắn bạn sẽ không thể bỏ qua tài liệu bổ ích .NET Framework Notes Professionals eBook được biên soạn bởi các chuyên gia của Stack Overflow, hiện nay người dùng vẫn có thể tải .NET Framework Notes Professionals eBook miễn phí vì vậy bạn hãy tận dụng cơ hội này để có thêm kiến thức, khả năng tương tác giữa .NET Framework và các ngôn ngữ khác nhé.