Clash Royale | How to Counter Prince Like a Pro
Poté, co Microsoft vydal patch pro vydání ve čtvrtek ráno, zabrali vývojáři testovacího nástroje pro zabezpečení imunitního systému dvě hodiny, než napsali své zneužití. Software vyvinutý firmou Immunity je k dispozici pouze placeným zákazníkům, což znamená, že ne každý má přístup k novému útoku, ale bezpečnostní odborníci očekávají, že některá verze kódu bude brzy zveřejněna na veřejnosti.
Společnost Microsoft podnikla neobvyklý krok že po čtvrté dva týdny poté, co si všiml malého počtu cílených útoků, které chybu zneužily, spustila nouzovou opravu chyby.
Zranitelnost nebyla veřejně známá před čtvrtkem; Společnost Microsoft poskytla hackerům a vědeckým pracovníkům v oblasti bezpečnosti dostatek informací, aby si vytvořili svůj vlastní kód útoku.
Chyba spočívá v službě Windows Server, která slouží k připojení různých síťových zdrojů, jako jsou souborové a tiskové servery přes síť. Odesíláním škodlivých zpráv do počítače se systémem Windows, který používá systém Windows Server, může útočník ovládnout počítač, říká Microsoft.
Zdá se, že tento typ útoku nepotřebuje mnoho úsilí. je velmi využitelná, "uvedl imunní bezpečnostní vědec Bas Alberts. "Je to velmi kontrolovatelný přetečení zásobníku."
Chyby přetečení stacků jsou způsobeny v případě, že programovací chyba dovolí útočníkovi napsat příkaz na části paměti počítače, které by normálně byly mimo limity a pak způsobily, že tento příkaz bude spuštěn počítač počítače oběti.
Společnost Microsoft vynakládá milióny dolarů, které se v posledních letech snaží eliminovat tento typ nedostatku svých produktů. A jeden z architektů bezpečnostního testovacího programu Microsoftu měl ve čtvrtek jasné zhodnocení situace, když uvedl, že "fuzzující" testovací nástroje společnosti by měly tuto záležitost dříve objevit. "Naše fuzzové testy to nezachytily a měly by mít," napsal manažer bezpečnostního programu Michael Howard na blogu. "Takže se vracíme k našim fuzzujícím algoritmům a knihovnám, abychom je odpovídajícím způsobem aktualizovali." Za to, co stojí za to, neustále aktualizujeme naše heuristiky a pravidla pro testování fuzzů, takže tato chyba není jedinečná. "
Zatímco Microsoft varoval, by mohl být použit k vytvoření počítačového červa, řekl Alberts, že je nepravděpodobné, že by se takový červ, pokud by byl vytvořen, mohl velmi rozšířit. To je proto, že většina sítí zablokuje tento typ útoku na firewallu.
"Vidím to jenom jako problém v interních sítích, ale je to velmi reálná a použitelná chyba," řekl.
Výzkumník demonstroval útokový kód pro čipy Intel
Bezpečnostní výzkumník plánuje demonstrovat kód útoku, který je zaměřen na chyby v mikroprocesorů Intel. autor Kris Kaspersky plánuje ukázat, jak útočník může zaměřit chyby v mikroprocesorů společnosti Intel, aby mohl vzdáleně napadnout počítač pomocí balíčků JavaScript nebo TCP / IP bez ohledu na to, jaký operační systém běží.
Chyby a opravy: oprava chyby prohlížeče chyby
Plus: Microsoft vydá opravu PowerPoint a opravu související s QuickTime a Mac OS a Adobe Reader obdrží aktualizace
Společnost Adobe uvádí na trh chyby pro dvě kritické chyby, které byly minulý týden zveřejněny a které jsou útočníky .
Společnost Adobe Systems uvedla, že uveřejní záplaty pro dvě kritické zranitelnosti, které byly minulý týden zveřejněny a které jsou útočníky aktivně používány.