Мицрософт се бори да уклони Виндовс 10/11 грешку
- Постоји грешка у Виндовс 10 и Виндовс 11 коју Мицрософт није успео да поправи упркос два претходна покушаја.
- Пројекат 0патцх је бесплатно објавио незваничну исправку за грешку.
- Пројекти као што је 0патцх помажу у заштити вашег рачунара док не постоји званична поправка за рањивост, кажу стручњаци.
Јохн М Лунд Пхотограпхи Инц / Гетти Имагес
Требало је незванична закрпа да поправи грешку у Виндовс 10 и Виндовс 11 коју Мицрософт није успео да исправи упркос неколико покушаја у последњих неколико месеци.
Технички класификована као недостатак ескалације привилегија, грешка омогућава нападачима да постану администратори ако имају физички приступ рачунару. Занимљиво је да је Мицрософт први пут исправио грешку у августу 2021, пре него што је истраживач који је открио открио да је поправка покварена. Мицрософт га је затим поново закрпио у јануару 2022. године, али се показало да је и ово друго решење неефикасно.
„Нажалост, чешће него што би требало да буде да било који добављач покуша да поправи рањивост, само да људи сазнају да исправка није тако потпуна колико би требало да буде“,
Трећа срећа
Грешку је открио истраживач безбедности Абделхамид Нацери, ко онда одбацио Мицрософтове закрпе као неефикасна. Да би подржао своју тврдњу, Нацери је написао оно што је познато као код за доказ концепта како би показао да се рањивост и даље може искористити.
Митја Колсек, суоснивач 0патцх пројекат који је објавио незваничну исправку за грешку, рекао је Лифевире-у путем е-поште да је једина спасоносна милост то што се грешка не може даљински експлоатисати преко интернета. То значи да ће нападачима бити потребан физички приступ вашој машини или пронаћи начин да преваре људе да покрену њихов заразни код како би преузели контролу над својим рачунаром.
Технички разбијајући грешку, Колсек је рекао да је недостатке ове природе „тешко поправити“, а његов тим је пронашао много таквих недостатака у прошлости. Да будемо поштени, да је неко од нас покушао да поправи ову грешку без знања да сада имамо о сличним недостацима, вероватно бисмо је такође погрешно исправили најмање два пута“, рекао је Колсек.
Нацери је послао Твиттер директну поруку Лифевире-у да потврди да је поправка коју је издао 0патцх успешно решила проблем. Према извештајима, Мицрософт је издао изјаву у којој потврђује 0 закрпу и предузеће потребне мере да заштити своје клијенте.
Патцх Манагемент
Пројекти као што је 0патцх могу изгледати контраинтуитивни јер добављачи софтвера попут Мицрософта редовно објављују ажурирања како би поправили проблеме са својим софтвером.
Колсек објашњава да обично прође доста времена између идентификације рањивости и испоруке поправке. Познате рањивости које немају исправку познате су као нула дана, а нападачи обично претварају управо објављену рањивост у експлоатацију много брже него што велики произвођачи софтвера могу да одговоре.
Франки ДеМеиер / Гетти Имагес
„Када наиђемо на такву рањивост, покушавамо да је репродукујемо у нашој лабораторији и сами направимо закрпу за њу. Када се закрпа заврши, испоручујемо је свим корисницима 0патцх преко нашег сервера и у року од 60 минута примењује се на све системе заштићене 0патцх-ом“, објаснио је Колсек.
И баш као исправка за рањивост коју је идентификовао Нацери, 0патцх не наплаћује своје закрпе све док не постоји званична поправка од Мицрософта.
0патцх такође помаже у заштити популарних, али неподржаних верзија оперативног система Виндовс, као што је Виндовс 7. Чак подржава и неке раније верзије оперативног система Виндовс 10 које или не добијају званичне закрпе од Мицрософта, или ажурирања долазе по високој цени, држећи их ван домашаја обичних људи који затим настављају да раде незаштићени система.
Колсек је нагласио да на Виндовс издањима која још увек подржавају, људи треба да размишљају о 0патцх-у као о додатку званичном закрпе, а не алтернатива, додајући да 0 закрпе најбоље раде на рачунарима који имају све званичне закрпе инсталиран.