Patch não oficial gratuito para bug de dia zero no Windows

Durante a Patch Tuesday do final de agosto, a Microsoft corrigiu totalmente um bug de dia zero que passa pela identificação CVE-2021-34484. A empresa apenas corrigiu o impacto da prova de conceito (PoC). O pesquisador de segurança Abdelhamid Naceri fez um relatório sobre o assunto. Este bug totalmente corrigido afeta todas as versões do Windows, incluindo Windows 10, janelas 11, e Windows Server 2022. No Serviço de Perfil de Usuário do Windows, permite que invasores em potencial obtenham privilégios de SISTEMA sob certas condições.

A Microsoft corrigiu completamente o patch durante a última atualização de agosto na terça-feira

Abdelhamid Naceri descobriu recentemente que os invasores ainda podem contornar o patch da Microsoft para elevar os privilégios e obter privilégios do SISTEMA sob certas condições, obtendo um prompt de comando elevado enquanto o Controle de Conta de Usuário (UAC) prompt exibe a si mesmo. O analista de vulnerabilidade do CERT / CC Will Dormann então verificou o CVE-2021-34484 ignorar exploração PoC. Ele descobriu que nem sempre seria criado o prompt de comando elevado.

Contudo, cyber security specialists point out that the bug won’t likely be exploited as it requires attackers to know and log in with other users’ credentials for exploiting the vulnerability. Microsoft acknowledged the existing problem and “will take appropriate action to keep customers protected.” Whilst the company is working on the problem, o serviço de micropatching 0patch lançou quinta-feira um patch não oficial gratuito ( também conhecido como micropatch).

“While this vulnerability already has its CVE ID (CVE-2021-33742), estamos considerando que ele não terá uma correção oficial do fornecedor e, portanto, um dia 0,” 0patch cofundador Mitja Kolsek diz. “Micropatches for this vulnerability will be free until Microsoft has issued an official fix.”

Para usar o patch gratuito, você primeiro precisa registrar uma conta 0patch e, em seguida, iniciar o processo de instalação do agente 0patch. Assim que a instalação for concluída, o micropatch será aplicado automaticamente (se não houver uma política corporativa de patch personalizado em vigor, bloqueando-o). Você não precisa reiniciar o seu dispositivo.

Os usuários do Windows podem obter correção não oficial gratuita

Os usuários das seguintes versões do Windows podem aplicar este patch gratuito para bloquear ataques usando o desvio CVE-2021-34484:

ALÉM, Recentemente Google lançado uma atualização de emergência para o navegador Chrome. Uma vez que o especialista em segurança cibernética encontrou duas vulnerabilidades de dia zero exploradas ativamente. Identificado como CVE-2021-38000 e CVE-2021-38003 as explorações permitiam implementação inadequada no motor V8 JavaScript e WebAssembly e validação insuficiente de entrada não confiável em um recurso chamado Intents também.