Windowsカーネルのゼロデイ脆弱性を公表
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表
GoogleのProject Zeroは10月30日、Windowsカーネルのゼロデイ脆弱性(CVE-2020-17087)を公表した(Project Zero - Issue 2104、 The Registerの記事、 Neowinの記事、 BetaNewsの記事)。
この脆弱性はWindowsカーネルの暗号処理ドライバー(cng.sys)に存在するバッファーオーバーフローの脆弱性で、
悪用するとローカルでの特権昇格が可能になる。PoCは最新のパッチ適用済みの64ビット版
Windows 10 バージョン1903でテストされているが、脆弱性は少なくともWindows 7以降に存在するとみられる。
修正は11月の月例更新で提供される見込みだが、この脆弱性を悪用する攻撃が既に確認されているため
開示期限はベンダーへの報告から90日後ではなく、7日後となっている。確認されている攻撃は標的型攻撃で、
米国の選挙を標的にしたものではないという。Chromiumベースのブラウザーの
脆弱性(CVE-2020-15999)と連携してリモートからの攻撃も可能とのことだが、
こちらはChrome 86.0.4240.111で修正済みだ。
https://security.srad.jp/story/20/11/01/0317226/ Windowsカーネルのゼロデイ脆弱性を公表したのか Google Chrome は最新版です
バージョン: 86.0.4240.111(Official Build) (64 ビット)
修正してから公表する周到さw
これedgeは非対応でしょw
Googleにはめられたな Windowsカーネルのゼロデイ脆弱性を公表したのか そもそも「ゼロデイ」とはどういったものなんですか?
解説の池上さんお願いします 結局なんの不具合なのか分からない不具合は不具合じゃないんだよな
M$酷杉 >>10
修正された筈のバグや不具合が再発するプロセス。
バグを隠すためのアップデート。
例
処理A→処理B→結果
<更新1>
処理Aにバグがあるが変更すると大きな影響がが出るため
処理Aを変更せずに処理Bのみバグを修正したように見せかける修正を行う。
バグが修正されたと勘違いする。
<処理2>
処理Aを修正。
処理Bの値がおかしくなり再びバグが発生する。 場当たり的なおかしな修正が累積していく・・・
下手に修正すると有らぬところにバグが出るのはこういう作りになっているからである。
短期間の修正の繰り返しは結果としておかしくなっていくだけである。 デグレード
処理A→処理B→結果
処理A、処理Bに各々にバグある。
<更新1>
処理Aにバグがあるが変更すると大きな影響がが出るため
処理Aを変更せずに処理BでAに起因するバグ隠しとBに存在するバグを修正を行う。
バグが修正されたと勘違いする。
<処理2>
処理Aを修正し、更新1を更新を更新前に戻す。
処理Aのバグは修正されるが、処理Bのバグが再発する。
直ったはずのバグが再発する。 ゼロデイとは、セキュリティホールが発見された日から、
その脆弱性を解消するための対処方法が確立される日までの期間のことである。
その期間に、当該脆弱性を利用して行われるサイバー攻撃のことを、ゼロデイ攻撃という。
「欧米で勉強しましょう」天皇は神の名において少女を騙し海外に販売した。
向学心旺盛な少女たちは船底に縛られ、糞尿たれ流しで船員に強姦されながら海を渡った。
現地に到着すると、全裸で犬のように売春宿の軒先に繋がれた。
妊娠すれば腹を蹴られてボロボロになって死んでいった。
少女一人当たり、当時の日本人の賃金の10年分で売れ
船で運んだ三井・三菱が財閥になってしまうほど売れた。
これが明治の文明開化の原資だが教科書には載せられない。
三菱は稼がせてもらったお礼に皇太子(昭和天皇)の新居、
渋谷の第一御領地の「花御殿」を建設してプレゼントした。
こうして名だたる大企業は軒並み朝鮮人の経営で始まった。 >>6
それで間違いないと思う
ただ先にグーグル裏切って攻撃してきたのはMSの方
これから報復合戦になりかねないので心配している Windowsカーネルのゼロデイ脆弱性を公表したのか >>19
>Windows インストーラーで特権昇格が引き起こされうるというものだ。
意味がわからん
インストーラーを実行したって事は、UACでの確認が表示されてから管理者としてインストーラープログラムが実行されるって事だが、
これの段階をパスしたって事は、systemであれTrustedInstaller権限であれ、どんなプロセスでも走らせられるって事が当たり前なんじゃないの?
これを果たして脆弱性と呼ばなきゃならないのか? Windowsカーネルのゼロデイ脆弱性を公表したのか クラッカーにとってはボーナスタイムが発生するアフォOSw ソース公開してなくてもこれだもんな
Linuxみたいに公開してたらものすごい数の穴が発見されるんじゃないか? Chromiumベースのブラウザーの
脆弱性(CVE-2020-15999)と連携してリモートからの攻撃 >>25
モグラ叩き開発のソースなんて公開できないでしょ 笑っちゃう
あの集客ではなかろうか
やっぱニコ生の本流のリスナーをずっと赤くなる
https://bcc.12m0.u6/fBJghQYi/SrKGc