Trong hai ngày qua, một nhà nghiên cứu bảo mật phụ trách SandBoxEscaper đã phát hành mã demo cho ba lỗ hổng Windows 10 khác nhau. Microsoft đã vá ít nhất một lỗi khai thác, nhưng công ty vẫn chưa bình luận về những lỗi khác.
Trong năm qua, SandBoxEscaper đã xuất bản bảy cách khai thác khác nhau, mỗi cách đều có ý nghĩa và mức độ dễ sử dụng khác nhau. Các cửa hàng khác nhau như Ars Technica và ZDNet đang đề cập đến các lỗ hổng mới nhất này là “khai thác zero-day” nhưng điều đó có thể không hoàn toàn chính xác.
Thuật ngữ “zero-day” đề cập đến các hoạt động khai thác được các bên bên ngoài phát hiện và sau đó được sử dụng hoặc xuất bản mà không thông báo trước cho công ty có liên quan. Các báo cáo ban đầu cho rằng SandBoxEscaper đã xuất bản tất cả các hoạt động khai thác này mà không có thông báo chịu trách nhiệm cho Microsoft, nhưng điều đó dường như không đúng với trường hợp này.
LIÊN QUAN: Khai thác “Zero-Day” là gì và bạn có thể tự bảo vệ mình như thế nào?
ZDNet đề cập trong một phiên bản cập nhật của bài viết của họ rằng Microsoft đã làm rõ rằng họ đã vá ít nhất một trong những khai thác này và liên kết nó với CVE-2019-0863, một khai thác được ghi có cho “Polar Bear” (một tên khác mà SandBoxEscaper sử dụng). Microsoft đã không bình luận về hai lỗ hổng còn lại.
Nếu bạn đang tự hỏi mức độ nguy hiểm của những cách khai thác này, thì câu trả lời là một chút về túi hỗn hợp. Theo SandBoxEscaper, các lỗ hổng khó bị lợi dụng và yêu cầu quyền truy cập cục bộ vào máy được nhắm mục tiêu. Vì vậy, điều đó làm hạn chế tính hữu ích của việc khai thác.
Mặt khác, nếu một tác nhân xấu có quyền truy cập vào các máy để nhắm mục tiêu, chúng có thể gây ra thiệt hại khá lớn với bất kỳ cách khai thác nào trong số này, vì chúng cho phép các cách khác nhau để nâng cao đặc quyền, giành quyền truy cập HỆ THỐNG và thực thi JavaScript ở một mức độ Hộp cát của IE11 nên ngăn chặn.
Nếu Microsoft chưa vá cả ba lỗ hổng, công ty cần phải tập trung chúng vào. [ZDNet]
Trong những tin tức khác
- Liên minh huyền thoại có thể đến với thiết bị di động: Theo “nguồn tin” Tencent và Riot Games có thể đang làm việc trên phiên bản di động của Liên Minh Huyền Thoại. Đó là một động thái hợp lý dựa trên sự thành công của Fortnite trên mọi nền tảng. Nhưng cho đến khi chúng ta có nhiều hơn những nguồn tin không tên, thì tốt nhất đó là một hy vọng và tin đồn. Tôi gọi Jarvan IV! [Reuters]
- Razer Forge TV và Ouya nói lời tạm biệt cuối cùng: Bạn có thể đang nghĩ ngay bây giờ: “Razer Forge TV và OUYA là gì?” và đó sẽ là vấn đề. Razer Forge TV là một trong những nỗ lực đầu tiên của Android trên TV và công ty đã rút nó trong vòng vài tháng. Và OUYA đã hứa sẽ thay đổi trò chơi với bảng điều khiển Android TV được huy động vốn từ cộng đồng trước khi Razer mua lại công ty. Cả hai đều không thành công và bây giờ Razer cho biết họ sẽ đóng cửa các cửa hàng trực tuyến của họ sau ngày 25 tháng 6 năm 2019. [9to5Google]
-
Thiết bị cầm tay PlayDate sắp ra mắt của Panic siêu dễ thương: Đến từ những người tạo ra phần mềm Mac tuyệt vời như Coda và Prompt, và những người sáng tạo trò chơi độc lập đằng sau Katamari, là một thiết bị cầm tay nhỏ nhắn đáng yêu có tay quay. Nhìn kìa
con ngựagif, nó hét lên về sự ngây thơ của tuổi thơ bằng cách nào đó. PlayDate được thiết lập để phát hành vào đầu năm 2020 và do màn hình cao cấp và phần cứng khác nên bán lẻ khoảng $ 150. [The Verge] - Công nghệ chuyển làn đường mới của Tesla có thể không an toàn: Gần đây Tesla đã cập nhật “Phần mềm lái xe tự động” với khả năng tự động chuyển làn đường. Công ty tuyên bố chiếc xe có thể tự làm điều này an toàn hơn so với con người, nhưng Consumer Reports lại nói ngược lại. Trong quá trình kiểm tra, họ phát hiện ra những chiếc xe đã cố gắng chuyển làn theo cách cư xử không an toàn, phanh gấp ở những điểm không xác định và cắt bỏ những chiếc xe còn ít chỗ trống. Xe ô tô tự lái còn một chặng đường dài phía trước. [Consumer Reports]
- Las Vegas trao cho Boring Company một hợp đồng trị giá 49 triệu đô la: Công ty liên doanh khác của Elon Musk, Boring Company, có một tin vui. Las Vegas đã thông qua một hợp đồng xây dựng một đường hầm dành cho người di chuyển dưới lòng đất, hoàn chỉnh với các phương tiện điện tự hành. Nếu lời hứa cắt giảm 15 phút đi bộ xuống còn 1 phút được giữ nguyên, những người tham dự CES sẽ rất biết ơn. Không có lời nào về việc liệu đường hầm có súng phun lửa bổ sung hay không. [The Verge]
- Song công của Google hoạt động thực sự tốt khi nó không thực sự là con người: New York Times đã cho chạy thử nghiệm Duplex, dịch vụ đặt chỗ AI (Trí tuệ nhân tạo) của Google có chức năng lên lịch đặt chỗ cho các địa điểm như nhà hàng. Khi AI thực sự thực hiện cuộc gọi, toàn bộ quá trình đều rất ấn tượng và con người trên đường dây không thể biết được. Nhưng đôi khi, nó hoàn toàn không phải là AI. Google cho biết khoảng 25% cuộc gọi Duplex được thực hiện bởi con người, không phải AI Duplex và ngay cả khi AI bắt đầu cuộc gọi, con người sẽ can thiệp vào 15% trong số đó. [The New York Times]
- Spotify đặt lại mật khẩu của một số người dùng do hoạt động đáng ngờ: Một số người dùng Spotify đã nhận được thông báo rằng công ty đã đặt lại mật khẩu của họ. Trong một lời giải thích có phần mơ hồ với Techcrunch, công ty giải thích rằng họ đã gửi tin nhắn cho một số người dùng như một biện pháp phòng ngừa và nhắc nhở người dùng không sử dụng lại mật khẩu trên các trang web. Nếu không có thêm thông tin, chúng tôi chỉ có thể đoán những gì đang xảy ra. [TechCrunch]
- Apple đã gửi lời mời giới truyền thông cho bài phát biểu chính của WWDC: WWDC đang đến rất nhanh và chúng tôi có thể sẽ biết về các bản cập nhật phần mềm mới nhất và tốt nhất cho iOS, macOS, v.v. Apple đã gửi lời mời đến giới truyền thông cho bài phát biểu quan trọng, diễn ra vào ngày 3 tháng 6. Nếu bạn không nhận được vé, thì đã quá muộn. Bạn sẽ chỉ phải xem tại nhà như những người còn lại trong chúng tôi. [MacRumors]
- Các nhà tài trợ GitHub giống như Patreon cho mã nguồn mở: Github vừa công bố một chương trình “nhà tài trợ” mới có vẻ gợi nhớ đến các khoản tài trợ của Patreon hoặc Twitch. Bạn có thể chọn một nhà phát triển nguồn mở để gửi quà tặng định kỳ hàng tháng và các nhà phát triển có thể thêm các bậc thưởng. Microsoft cho biết họ sẽ đóng góp trị giá 5000 đô la trong năm đầu tiên tham gia của nhà phát triển và miễn tất cả các khoản phí trong 12 tháng tiếp theo. Tuy nhiên, vẫn chưa hoàn toàn rõ ràng mọi khía cạnh sẽ hoạt động như thế nào, vì vậy hãy theo dõi thêm các chi tiết sắp tới. [GeekWire]
Và cuối cùng, NASA muốn gửi tên của bạn lên sao Hỏa. Với một biểu mẫu gửi nhanh, bạn có thể cung cấp tên của mình để được khắc trên một vi mạch, cùng với tất cả những người đăng ký, sau đó sẽ được gắn vào Mars 2020 rover. Nếu bạn cung cấp cho NASA địa chỉ email của mình, họ sẽ gửi cho bạn thông báo về những cơ hội như thế này trong tương lai. Và như một phần thưởng nhỏ, NASA sẽ cung cấp cho bạn một thẻ lên máy bay thú vị khi bạn gửi tên của bạn và ồ, chúng ta đang đùa ai vậy, bạn không đọc cái này phải không? Bạn đã đăng ký và điều đó chúng tôi cũng sẽ làm ngay bây giờ. [NASA]