Novas falhas "dia zero" do Windows 10 são reveladas no report de erros e IE 11

Por João Gabriel Nogueira 23/05/2019 17:45 | atualizado 16/08/2019 11:04 Comentários Reportar erro

A polêmica pesquisadora em segurança digital conhecida na internet como SandboxEscaper revelou duas novas vulnerabilidades no Windows 10 que são falhas de "dia zero". Os problemas afetam o serviço de report de erros do sistema operacional e o Internet Explorer 11. Ambos exploits foram postados no GitHub, com instruções de como explorá-los.

A falha que afeta os reports de erros foi apelidada de AngryPolarBearBug2, dando a entender que é uma nova forma de uma outra vulnerabilidade, também divulgada pela SandboxEscaper no ano passado. Segundo a própria pesquisadora, essa não é uma falha muito fácil de explorar, e envole o uso do DACL (directionary access control list). Se a pessoa mal intencionada conseguir realizar as ações necessárias, o bug ainda leva uns 15 minutos para acontecer. Mas, uma vez ativado o exploit, a pessoa em questão pode editar qualquer arquivo do Windows, incluindo os executáveis do sistema.

A falha do Internet Explorer 11 não chegou a ganhar um nome e consiste em aproveitar a vulnerabilidade para injetar um código malicioso no navegador. Aparentemente este ataque não poderia ser feito à distância, mas daria bastante acesso a uma pessoa má intencionada que conseguisse aproveitar a falha.

A SandboxEscaper é uma figura controversa porque já divulgou falhas desse tipo antes sem primeiro reportar à Microsoft, como mandam as boas práticas da busca por vulnerabilidades em softwares. A pesquisadora afirmou que "desistiu" de reportar à empresa por causa da dificuldade do sistema de report de falhas, segundo ela. Mas há também informações de que o nome já foi visto oferecendo os exploits à venda no Reddit. Não há como confirmar se era a mesma pessoa, mas é algo que não ajuda a sua já manchada reputação. A pesquisadora prometeu a divulgação de duas novas falhas em breve.

Fonte: Tom's Hardware
  • Redator: João Gabriel Nogueira

    João Gabriel Nogueira

    João Gabriel Nogueira se formou em jornalismo pela Universidade Federal de Santa Catarina (UFSC) em 2015 e curte games desde muito antes. Começou com o Master System e o gosto pelos jogos eletrônicos trouxe o gosto pela tecnologia. Escrever notícias e análises de jogos, hardware e dispositivos móveis para o Adrenaline, além de trabalho é uma alegria e um aprendizado.

Você se importa com a temperatura da série RX 5700?