Home / 2019 / Novas falhas “dia zero” do Windows 10 são reveladas no report de erros e IE 11

Novas falhas “dia zero” do Windows 10 são reveladas no report de erros e IE 11

Novas falhas "dia zero" do Windows 10 são reveladas no report de erros e IE 11-02

A polêmica pesquisadora em segurança digital conhecida na internet como SandboxEscaper revelou duas novas vulnerabilidades no Windows 10 que são falhas de “dia zero”. Os problemas afetam o serviço de report de erros do sistema operacional e o Internet Explorer 11. Ambos exploits foram postados no GitHub, com instruções de como explorá-los.

A falha que afeta os reports de erros foi apelidada de AngryPolarBearBug2, dando a entender que é uma nova forma de uma outra vulnerabilidade, também divulgada pela SandboxEscaper no ano passado. Segundo a própria pesquisadora, essa não é uma falha muito fácil de explorar, e envole o uso do DACL (directionary access control list). Se a pessoa mal intencionada conseguir realizar as ações necessárias, o bug ainda leva uns 15 minutos para acontecer. Mas, uma vez ativado o exploit, a pessoa em questão pode editar qualquer arquivo do Windows, incluindo os executáveis do sistema.

A falha do Internet Explorer 11 não chegou a ganhar um nome e consiste em aproveitar a vulnerabilidade para injetar um código malicioso no navegador. Aparentemente este ataque não poderia ser feito à distância, mas daria bastante acesso a uma pessoa má intencionada que conseguisse aproveitar a falha.

A SandboxEscaper é uma figura controversa porque já divulgou falhas desse tipo antes sem primeiro reportar à Microsoft, como mandam as boas práticas da busca por vulnerabilidades em softwares. A pesquisadora afirmou que “desistiu” de reportar à empresa por causa da dificuldade do sistema de report de falhas, segundo ela. Mas há também informações de que o nome já foi visto oferecendo os exploits à venda no Reddit. Não há como confirmar se era a mesma pessoa, mas é algo que não ajuda a sua já manchada reputação. A pesquisadora prometeu a divulgação de duas novas falhas em breve.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.