خبر

  • تک بورد - آیا نیاز به ریشه در جعبه ویندوز دارید؟ ماوس گیمینگ Razer را وصل کنید

    آیا نیاز به ریشه در جعبه ویندوز دارید؟ ماوس گیمینگ Razer را وصل کنید
    27 روز و 6 ساعت قبل

    نصب کننده خودکار Razer یک پوسته SYSTEM را در معرض دید هر کاربر قرار می دهد.
    این هفته ، محقق امنیتی jonhat یک اشکال امنیتی طولانی مدت را در نرم افزار Synapse مربوط به موش های بازی Razer فاش کرد. در حین نصب نرم افزار ، جادوگر پیوندی قابل کلیک به مکانی که نرم افزار در آن نصب می شود ، ایجاد می کند. با کلیک روی آن پیوند ، یک پنجره File Explorer به محل پیشنهادی باز می شود - اما File Explorer با شنا

    ماوس داشته باشید ، ریشه خواهد کرد

    به خودی خود ، این آسیب پذیری در Razer Synapse یک مشکل جزئی به نظر می رسد - به هر حال ، برای راه اندازی نصب کننده نرم افزار با امتیازات SYSTEM ، یک کاربر معمولاً باید دارای امتیازات خود مدیر متأسفانه ، Synapse بخشی از کاتالوگ Windows است - به این معنی که یک کاربر غیرمجاز فقط می تواند ماوس Razer را وصل کند و Windows Update با خوشحالی نصب کننده قابل استفاده را به طور خودکار بارگیری و اجرا می کند.

    تبلیغات

    Jonhat نیست تنها - یا حتی اولین - محققی که این اشکال را کشف و افشا کرد. لی کریستنسن همان اشکال را در ماه جولای فاش کرد و به گفته محقق امنیتی _MG_ ، که آن را با استفاده از کابل OMG برای تقلید از شناسه دستگاه PCI موش Razer و سوء استفاده از همان آسیب پذیری نشان داد ، محققان بیش از یک بار آن را بی نتیجه گزارش کرده اند. سال.

    رفع آسیب پذیری به زودی در فهرست ویندوز

    خوشبختانه به نظر می رسد که Razer بالاخره این یادداشت را دریافت کرده است - jonhat گزارش داد که شرکت بلافاصله پس از آگوست او با او تماس گرفت افشای عمومی 21 برای اطمینان از اینکه تیم امنیتی آن "در حال کار بر روی رفع مشکل است" ، و این شرکت حتی با وجود افشای عمومی به او جایزه ای پیشنهاد کرد. آن را به مایکروسافت فشار می دهد تا در کاتالوگ ویندوز قرار گیرد - جایی که باید درایور فعلی و آسیب پذیر Razer HIDClass را که Windows Update به طور خودکار بارگیری می کند و هر زمان که یک موس Razer به سیستم متصل شود ، جایگزین کند. (نسخه آسیب پذیر در فهرست Windows تا زمان انتشار 6.2.9200.16495 ، مورخ ژانویه 2017 است.)





خبرهای دیگر از فناوری اطلاعات