SandBoxEscaper descobre falhas no report de erros e no Internet Explorer do Windows 10

SandBoxEscaper descobre falhas no report de erros e no Internet Explorer do Windows 10

As vulnerabilidades permitem acesso e edição de qualquer arquivo do sistema operacional

Foram divulgados duas novas falhas de segurança do Windows 10. A divulgação foi feita pela pesquisadora em segurança digital que é conhecida na internet como SandboxEscaper. Os problemas encontrados são do serviço de report de erros do software e também relacionados ao Internet Explorer 11. Essas falhas são chamadas de "Zero-Day", ou "Dia Zero".

Apesar da pesquisadora divulgar falhas para aprimorar a segurança do sistema operacional para os usuários, a SandboxEscaper está com má reputação. Isso aconteceu depois da divulgação de alguns erros sem antes reportar para a Microsoft. Mesmo que ela tenha usado a desculpa que o sistema de report usado pela gigante de software dificultava o acesso, a polêmica já tinha sido criada.

22/05/2019 às 10:34
Notícia

Microsoft lança o aguardado Windows 10 May Update, que traz n...

Novo tema e melhorias no Menu Iniciar também estão entre as novidades

A falha que afeta os reports de erros foi chamada pela pesquisadora de AngryPolarBearBug2, esse nome sugere que é uma "segunda versão" de uma outra vulnerabilidade que já tinha sido descoberta por eles em 2018. Segundo a SandboxEscaper, essa é uma falha difícil de ser explorada e é necessário usar DACL (directionary access control list).

Caso uma pessoa mal intencionada consiga acessar e fazer as ações necessárias, o bug tem um atraso de até 15 minutos para começar a ser executado. Apesar disso, quando o exploit (sequência de comandos que se aproveitam de alguma falha do sistema para ter acesso a comandos do software ou do hardware) é ativo no computador o hacker tem acesso e pode editar qualquer arquivo que estiver no Windows.

A falha que afeta o navegador Internet Explorer 11 aproveita a vulnerabilidade do sistema para colocar um código malicioso. A pesquisadora afirma que aparentemente esse ataque não tem como ser feito à distância, mas consegue expor diversos dados do usuário, dando acesso a várias informações que podem ser usadas por pessoas mal intencionadas.

Ambas as falhas foram divulgadas pelo GitHub, que é uma plataforma de hospedagem de códigos fonte, em que qualquer pessoa que entenda sobre programação tenha acesso a diferentes partes de softwares. 

Via: Tom's Hardware, Adrenaline
User img

Ana Luiza Pedroso

Atualização cumulativa KB4512508 do Windows 10 traz problemas para usuários

Atualização cumulativa KB4512508 do Windows 10 traz problemas para usuários

Patch Tuesday de agosto está trazendo uma série de erros que fazem PCs reiniciarem


Xiaomi adiciona autenticação de dois fatores para contas Mi

Xiaomi adiciona autenticação de dois fatores para contas Mi

Opção de maior segurança estará disponível após um update para a MIUI10


Resumo Conectado: Roupa VR, drones entregadores em Campinas e rumores do Moto G8

Resumo Conectado: Roupa VR, drones entregadores em Campinas e rumores do Moto G8

Rumores do Galaxy A91 com 108MP e atualização do Windows também são destaques!


Nova vulnerabilidade do Bluetooth, Knob Attack, deixa dispositivos abertos à ataques

Nova vulnerabilidade do Bluetooth, Knob Attack, deixa dispositivos abertos à ataques

Esse bug permite que hackers encurtem o código de criptografia e invadam os dispositivos


Chrome OS 76 chega com novos controles de mídia estilo Android e desktops virtuais

Chrome OS 76 chega com novos controles de mídia estilo Android e desktops virtuais

Nova versão do sistema operacional da Google foi lançada para seus Chromebooks