In den letzten zwei Tagen ein Sicherheitsforscher, der am Griff geht SandBoxEscaper Demo-Code für drei verschiedene Windows 10-Schwachstellen veröffentlicht. Microsoft hat bereits mindestens einen Exploit gepatcht, die anderen hat das Unternehmen jedoch noch nicht kommentiert.
Im vergangenen Jahr hat SandBoxEscaper sieben verschiedene Exploits veröffentlicht, die jeweils von unterschiedlicher Bedeutung und Benutzerfreundlichkeit sind. Verschiedene Verkaufsstellen wie Ars Technica und ZDNet Diese neuesten Sicherheitslücken werden als «Zero-Day-Exploits» bezeichnet, aber das ist möglicherweise nicht ganz richtig.
Der Begriff „Zero-Day“ bezieht sich auf Exploits, die von Dritten entdeckt und dann entweder verwendet oder veröffentlicht wurden, ohne zuvor das betreffende Unternehmen zu benachrichtigen. Frühe Berichte deuteten darauf hin, dass SandBoxEscaper alle diese Exploits ohne verantwortliche Benachrichtigung an Microsoft veröffentlicht hat, aber dies scheint nicht der Fall zu sein.
ZDNet erwähnt in einer aktualisierten Version seines Artikels, dass Microsoft klargestellt hat, dass mindestens einer dieser Exploits bereits gepatcht und mit ihm verknüpft wurde CVE-2019-0863, ein Exploit, der „Polar Bear“ gutgeschrieben wird (ein anderer Name, den SandBoxEscaper verwendet). Microsoft hat die beiden anderen Sicherheitslücken nicht kommentiert.
Wenn Sie sich fragen, wie gefährlich diese Exploits sind, ist die Antwort ein bisschen gemischt. Laut SandBoxEscaper sind die Sicherheitslücken schwer auszunutzen und erfordern lokalen Zugriff auf den Zielcomputer. Das schränkt den Nutzen der Exploits ein.
Wenn ein schlechter Akteur jedoch Zugriff auf Zielmaschinen erhält, kann er bei jedem dieser Exploits erheblichen Schaden anrichten, da er verschiedene Möglichkeiten bietet, um Berechtigungen zu erhöhen, SYSTEM-Zugriff zu erhalten und JavaScript auf einer bestimmten Ebene auszuführen Die Sandbox von IE11 sollte dies verhindern.
Wenn Microsoft noch nicht alle drei Sicherheitslücken gepatcht hat, muss das Unternehmen sie in den Mittelpunkt stellen. [ZDNet]
In anderen Nachrichten
- League Of Legends könnte auf mobile Geräte kommen: Laut «Quellen» arbeiten Tencent und Riot Games möglicherweise an einer mobilen Version von League of Legends. Angesichts des Erfolgs von Fortnite auf jeder Plattform ist dies ein vernünftiger Schritt. Aber bis wir mehr als nur unbenannte Quellen haben, ist es bestenfalls eine Hoffnung und ein Gerücht. Ich rufe Jarvan IV an! [Reuters]
- Razer Forge TV und Ouya verabschieden sich endgültig: Sie denken vielleicht gerade: «Was ist Razer Forge TV und OUYA?» und das wäre das problem. Razer Forge TV gehörte zu den ersten Versuchen mit Android auf dem Fernseher, und das Unternehmen zog es innerhalb von Monaten. Und OUYA versprach, das Spiel mit seiner Crowdfunding-Android-TV-Konsole zu ändern, bevor Razer das Unternehmen kaufte. Keiner von beiden ist gestartet und jetzt sagt Razer, dass seine Online-Shops nach dem 25. Juni 2019 geschlossen werden. [9to5Google]
- Der kommende PlayDate-Handheld von Panic ist super süß: Ein entzückender kleiner Handheld mit einer Kurbel stammt von den Entwicklern großartiger Mac-Software wie Coda und Prompt und den Entwicklern von Indie-Spielen hinter Katamari. Schau dir das Pferd an gif, es schreit irgendwie nach Unschuld in der Kindheit. Das PlayDate soll Anfang 2020 veröffentlicht werden und aufgrund eines High-End-Bildschirms und anderer Hardware rund 150 US-Dollar kosten. [The Verge]
- Teslas neue Spurwechseltechnologie ist möglicherweise nicht sicher: Kürzlich hat Tesla seine „Autopilot-Software“ mit der Möglichkeit aktualisiert, die Spur automatisch zu wechseln. Das Unternehmen behauptet, dass das Auto dies alleine sicherer machen kann als ein Mensch, aber Consumer Reports sagt etwas anderes. Beim Testen stellten sie fest, dass die Fahrzeuge versuchten, auf unsichere Weise die Spur zu wechseln, an unerwarteten Stellen zu bremsen und Autos mit wenig Platz abzuschneiden. Selbstfahrende Autos haben einen langen, langen Weg vor sich. [Consumer Reports]
- Las Vegas vergibt an die Boring Company einen Auftrag über 49 Millionen US-Dollar: Elon Musks anderes Unternehmen, die Boring Company, hat erfreuliche Neuigkeiten. Las Vegas genehmigte einen Auftrag zum Bau eines unterirdischen People Mover-Tunnels mit autonomen Elektrofahrzeugen. Wenn das Versprechen, einen 15-minütigen Spaziergang auf 1 Minute zu verkürzen, gilt, sind die CES-Teilnehmer dankbar. Kein Wort darüber, ob der Tunnel mit komplementären Flammenwerfern ausgestattet ist. [The Verge]
- Googles Duplex funktioniert sehr gut, wenn es nicht wirklich menschlich ist: Die New York Times gab einen Testlauf von Duplex, Googles AI-Buchungsservice (Artificial Intelligence), der Reservierungen für Orte wie Restaurants plant. Als die KI tatsächlich anrief, war der gesamte Prozess beeindruckend und der Mensch in der Leitung konnte es nicht sagen. Aber manchmal war es überhaupt keine KI. Laut Google werden etwa 25% der Duplex-Anrufe von einem Menschen getätigt, nicht von der Duplex-KI. Selbst wenn die KI den Anruf startet, greift ein Mensch in 15% dieser Fälle ein. [The New York Times]
- Spotify hat die Passwörter einiger Benutzer aufgrund verdächtiger Aktivitäten zurückgesetzt: Einige Benutzer von Spotify erhielten eine Benachrichtigung, dass das Unternehmen ihre Kennwörter zurückgesetzt hat. In einem etwas vage Klarstellung Techcrunch erklärt das Unternehmen, dass sie die Nachricht vorsichtshalber an einige Benutzer gesendet haben, und erinnert die Benutzer daran, Kennwörter nicht über Websites hinweg wiederzuverwenden. Ohne weitere Informationen können wir nur raten, was los ist. [TechCrunch]
- Apple verschickte Medieneinladungen für die WWDC-Keynote: WWDC rückt immer näher und wir werden wahrscheinlich von den neuesten und besten Software-Updates für iOS, macOS usw. erfahren. Apple hat Medieneinladungen für die Keynote verschickt, die am 3. Juni stattfindet. Wenn Sie kein Ticket erhalten haben, ist es zu spät. Sie müssen nur wie der Rest von uns von zu Hause aus zuschauen. [MacRumors]
- GitHub Sponsors ist wie Patreon für Open Source Code: Github hat gerade ein neues «Sponsoren» -Programm angekündigt, das an Patreon- oder Twitch-Patenschaften erinnert. Sie können einen Open Source-Entwickler auswählen, an den monatlich wiederkehrende Geschenke gesendet werden sollen, und die Entwickler können Belohnungsstufen hinzufügen. Microsoft sagt, dass im ersten Jahr der Teilnahme eines Entwicklers Spenden im Wert von 5000 US-Dollar zusammenkommen und alle Gebühren für die nächsten zwölf Monate erlassen werden. Es ist jedoch noch nicht ganz klar, wie jeder Aspekt funktionieren wird. Behalten Sie also weitere Details im Auge. [GeekWire]
Und abschließend möchte die NASA Sende deinen Namen zum Mars. Mit einem schnellen Einreichungsformular können Sie Ihren Namen, der auf einem Mikrochip geätzt werden soll, zusammen mit allen Anmeldern angeben, die dann am Mars 2020-Rover befestigt werden. Wenn Sie der NASA Ihre E-Mail-Adresse geben, erhalten Sie Benachrichtigungen für zukünftige Gelegenheiten wie diese. Und als kleinen Bonus gibt Ihnen die NASA eine lustige Bordkarte für die Übermittlung Ihres Namens und oh, wen scherzen wir, Sie lesen das nicht, oder? Sie melden sich bereits an, und das werden wir jetzt auch tun. [NASA]