Вход |  Регистрация
 
 
Время электроники Четверг, 25 апреля
 
 

Это интересно!

Ранее

Sony переносит свой пекинский завод по производству гаджетов в Таиланд из-за нерентабельности, а не торговой войны с США

Компания Sony закрывает свой завод по производству смартфонов в Пекине, Китай. Чтобы снизить убытки своего подразделения смартфонов, японский гигант принял решение перенести производство на свой завод в Таиланде.

Обнародован инструмент для взлома устройств Интернета вещей под Windows 10 IoT

Опубликован исходный код эксплойта интернета вещей с проводным подключением и под управлением бесплатной версии Windows 10 IoT Core. Таких устройств много в корпоративных сетях. В том числе, это миникомпьютеры вроде Raspberry Pi.

ABI Research: в 2025 году свыше 4 млн роботов будет трудиться на складах по всему миру

Число роботизированных складов за это время увеличится более чем десятикратно — примерно с 4000 (показатель 2018 года) более чем до 50 000.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

28 марта 2019

Microsoft выявила серьезные баги в продуктах Huawei

Два бага допускали повышение локальных привилегий и запуск произвольного кода. Тем не менее, «критического» статуса они не получили. Исправления были внесены в начале 2019 г.

Эксперты по безопасности корпорации Microsoft обнаружили две серьезные уязвимости в разработках китайской фирмы Huawei. Выявленные баги допускали повышение привилегий в системе и запуск произвольного кода.

Проблема обнаружилась в инструменте Huawei PCManager, предустановленном на ноутбуках MateBook. Система Advanced Threat Protection в антивирусе MicrosoftDefender обнаружила некое «аномальное поведение» в драйвере, и дальнейший анализ показал, что в программе присутствует уязвимость CVE-2019-5241, допускающая локальное повышение привилегий.

Позднее стало известно еще об одной уязвимости — CVE-2019-5242, которая допускает локальный запуск произвольного кода.

«Обнаружив возможность свободно вызывать обработчики IOCTL в драйвере из-под пользовательского режима, мы начали искать другие возможности для злоупотребления. И нашли: драйвер позволяет устанавливать произвольное соответствие любой физической странице в пользовательском режиме с разрешениями на чтение и запись. Вызвав такой обработчик, можно дать любому коду с низкими привилегиями возможность производить чтение и запись за пределами данного процесса — в том числе, в других процессах или даже в пространстве ядра. Это, естественно, означает полную компрометацию машины», — говорится в бюллетене Microsoft.

Информация об обеих уязвимостях была предоставлена в Huawei в январе 2019 г. Тогда же были выпущены исправления. В Microsoft отметили, что содействие со стороны Huawei носило оперативный и профессиональный характер.

«Ключевая причина этих ошибок — недостаточность проверки допустимых пределов памяти, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это одна из самых распространенных ошибок при написании кода, особенно, когда программист не берет в расчет соображения безопасности и не использует рекомендованные подходы. Но от подобных проблем не застрахован никто, включая крупнейших разработчиков ПО и ИТ-оборудования».

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2019 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты