Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Krytyczna podatność w obsłudze protokołu HTTP w Windows 10 / Server – czas na łatanie

12 maja 2021, 09:16 | W biegu | komentarzy 9

Tytuł to mały bait (a może nie?) mający Was skłonić do weryfikacji czy zaaplikowane macie ostatnie łatki od Microsoftu. Tym razem załatano 55 podatności, z czego przynajmniej jedna wygląda dość strasznie:

Podatność w obsłudze protokołu HTTP umożliwia bez uwierzytelnienia na wykonanie kodu z uprawnieniami jądra (kernel). Podatność może zostać użyta do stworzenia robaka; atak polega na wysłaniu odpowiednio spreparowanej komunikacji do web serwera.

Microsoft released patches addressing a critical RCE vulnerability in Windows. This vulnerability allows an unauthenticated attacker to remotely execute code as kernel. This is a wormable vulnerability where an attacker can simply send a malicious crafted packet to the target impacted web server.

Microsoft „wycenia” krytyczność tej podatności w na 9.8/10 w skali CVSSv3, uzupełniając opis wisienką na torcie w postaci adnotacji: „exploitation more likely”.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Artur

    Luka dotyczy tylko wersji 20H2 i 2004. Zgadza się?

    Odpowiedz
  2. Chyba na torcie jest truskawka…

    Odpowiedz
  3. tmk

    Ale mój windows nie ma serwera www. Chyba że ma a o tym nie wiem.

    Odpowiedz
  4. Marec

    Podatność dotyczy tylko Windows 10 1909 oraz 20H2 i nowszych i tylko tych co mają uruchomiony na tym systemie IIS ?

    Czy podatność dotyczy również systemów Windows 2012 R2, 2016, 2019 ?

    Odpowiedz
  5. Marek

    Czy podatność dotyczy również systemów Windows 2012 R2, 2016, 2019 ?

    Odpowiedz
    • Wg informacji z Microsoftu (na dzisiaj) tylko 20H2 / 2004

      Odpowiedz
      • Marek

        Dzięki

        Odpowiedz
  6. Zawsze coś z tym windowsem ;/

    Odpowiedz

Odpowiedz