ช่องโหว่สามรายการทำให้เกิดการยกระดับสิทธิ์การใช้งาน และอีกช่องโหว่หนึ่งเพื่อหลีกเลี่ยงการแยกแซนด์บ็อกซ์ใน Internet Explorer 11 ขณะนี้ยังไม่มีโปรแกรมแก้ไข
นักวิจัยด้านความปลอดภัย SandboxEscaper รักษาสัญญาของเธอ เมื่อวันที่ 21 พฤษภาคม เธอเผยแพร่โค้ดสำหรับ aล้มเหลวเป็นศูนย์วันอนุญาตให้คุณรับสิทธิ์ผู้ดูแลระบบบน Windows 10 (“bearlpe”) ในโอกาสนี้ เธอกล่าวว่าเธอยังมีช่องโหว่แบบ Zero-day อีกสี่ช่องโหว่ที่เก็บไว้ ขณะนี้สิ่งเหล่านี้ยังมีให้บริการบนพื้นที่ GitHub เดียวกัน
ในความเป็นจริงมีเพียงสามเท่านั้นที่เป็นข้อบกพร่องแบบซีโร่เดย์อย่างแท้จริง อนุญาตการยกระดับสิทธิ์สองรายการ (“CVE-2019-0841-BYPASS” และ “InstallerByPass”) ส่วนที่สามอนุญาตให้คุณข้ามการแยกแซนด์บ็อกซ์ใน Internet Explorer 11 (“sandboxescape”) ไม่มีแพทช์ที่ใช้งานได้ในขณะนี้
ข้อบกพร่องที่แฮกเกอร์ใช้ประโยชน์
SandboxEscaper ยังเผยแพร่ภายใต้ชื่อ "angrypolarbearbug2" ซึ่งเป็นโค้ดของข้อบกพร่องที่ Microsoft ได้แก้ไขแล้วใน Patch เมื่อวันอังคารที่แล้ว ดังนั้นจึงไม่ใช่ข้อบกพร่องแบบซีโร่เดย์จริงๆ อย่างไรก็ตาม ตามข้อมูลของ ZDnet การละเมิดนี้ได้ถูกแฮกเกอร์ใช้ประโยชน์แล้ว
SandboxEscaper ต้องมีความแค้นใจกับ Microsoft จริงๆ สำหรับการเผยแพร่ช่องโหว่แบบ Zero-day มากมายมหาศาล ในปี 2018 ได้มีการเผยแพร่ช่องโหว่แบบ Zero-day จำนวน 4 รายการใน Windows ในลักษณะเดียวกัน
แหล่งที่มา :GitHub
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
