Microsoft sa snaží potlačiť chybu Windowsu 10/11
- V systéme Windows 10 a Windows 11 je chyba, ktorú spoločnosť Microsoft nedokázala opraviť napriek dvom predchádzajúcim pokusom.
- Neoficiálnu opravu chyby vydal projekt 0patch zadarmo.
- Projekty ako 0patch pomáhajú chrániť váš počítač, kým nebude oficiálna oprava zraniteľnosti, hovoria odborníci.
John M Lund Photography Inc / Getty Images
Trvalo to neoficiálny patch opraviť chybu v systéme Windows 10 a Windows 11, ktorú Microsoft nedokázal napraviť napriek niekoľkým pokusom za posledných pár mesiacov.
Táto chyba, ktorá je technicky klasifikovaná ako chyba eskalácie privilégií, umožňuje útočníkom stať sa správcami, ak majú fyzický prístup k počítaču. Je zaujímavé, že Microsoft prvýkrát opravil chybu v auguste 2021, predtým, ako výskumník, ktorý ju objavil, zistil, že oprava je nefunkčná. Spoločnosť Microsoft ju potom znova opravila v januári 2022, ale zistilo sa, že aj táto druhá oprava je neúčinná.
"Bohužiaľ, pre ktoréhokoľvek dodávateľa je častejšie, ako by malo byť, pokúšať sa opraviť chybu zabezpečenia, len aby ľudia zistili, že oprava nie je taká úplná, ako by mala byť,"
Tretíkrát Lucky
Chybu objavil bezpečnostný výskumník Abdelhamid Naceri, kto potom zamietol záplaty Microsoftu ako neúčinné. Na podporu svojho tvrdenia napísal Naceri to, čo je známe ako kód proof-of-concept, aby preukázal, že zraniteľnosť sa dá stále zneužiť.
Mitja Kolsek, spoluzakladateľ spoločnosti 0 patch projekt ktorý vydal neoficiálnu opravu chyby, povedal Lifewire e-mailom, že jedinou záchranou je, že chybu nemožno zneužiť na diaľku cez internet. To znamená, že útočníci budú potrebovať fyzický prístup k vášmu počítaču alebo nájdu spôsob, ako oklamať ľudí, aby spustili ich infekčný kód, aby prevzali kontrolu nad ich počítačom.
Po technickom odstránení chyby Kolsek povedal, že chyby tohto charakteru je „ťažké opraviť“ a jeho tím v minulosti našiel veľa takýchto nedostatkov. "Aby sme boli spravodliví, ak by sa niekto z nás pokúsil opraviť túto chybu bez toho, aby vedel, že teraz o podobných chybách máme, pravdepodobne by sme ju tiež minimálne dvakrát opravili nesprávne," povedal Kolsek.
Naceri poslala priamu správu Twitter Lifewire, aby potvrdila, že oprava vydaná 0patch úspešne vyriešila problém. Podľa správ, Microsoft vydal vyhlásenie, v ktorom potvrdzuje opravu 0 a podnikne potrebné kroky na ochranu svojich zákazníkov.
Správa opráv
Projekty, ako je 0patch, sa môžu zdať neintuitívne, pretože poskytovatelia softvéru, ako je Microsoft, pravidelne poskytujú aktualizácie na riešenie problémov s ich softvérom.
Kolsek vysvetľuje, že medzi identifikovaním zraniteľnosti a dodaním opravy zvyčajne uplynie veľa času. Známe zraniteľnosti, ktoré nemajú opravu, sú známe ako zero-days a útočníci zvyčajne premenia práve zverejnenú zraniteľnosť na zneužitie oveľa rýchlejšie, ako dokážu veľkí dodávatelia softvéru reagovať.
FrankyDeMeyer / Getty Images
„Keď na takúto zraniteľnosť narazíme, snažíme sa ju reprodukovať v našom laboratóriu a sami si na ňu vytvoríme záplatu. Keď je oprava hotová, doručíme ju všetkým používateľom 0patch prostredníctvom nášho servera a do 60 minút sa aplikuje na všetky systémy chránené 0patch,“ vysvetlil Kolsek.
A rovnako ako oprava zraniteľnosti identifikovaná Naceri, 0patch neúčtuje poplatky za svoje opravy, kým neexistuje oficiálna oprava od spoločnosti Microsoft.
0patch tiež pomáha zabezpečiť populárne, ale nepodporované verzie systému Windows, ako je napríklad Windows 7. Podporuje dokonca aj niektoré staršie verzie systému Windows 10, ktoré buď nedostávajú oficiálne opravy od spoločnosti Microsoft, alebo aktualizácie sú drahšie a držia ich mimo dosahu bežných ľudí, ktorí potom pokračujú v prevádzke bez ochrany systémov.
Kolsek zdôraznil, že na stále podporovaných vydaniach Windows by ľudia mali myslieť na 0patch ako na doplnok k oficiálnemu záplaty skôr než alternatíva a dodáva, že záplaty 0 fungujú najlepšie na počítačoch, ktoré majú všetky oficiálne záplaty nainštalovaný.