Үндсэн санаанууд
- Windows 10 болон Windows 11-д Microsoft өмнөх хоёр оролдлогыг үл харгалзан засаж чадаагүй алдаа байна.
- Алдааны албан бус засварыг 0patch төслөөс үнэ төлбөргүй гаргасан.
-
Мэргэжилтнүүдийн үзэж байгаагаар 0patch зэрэг төслүүд нь алдааг албан ёсоор засах хүртэл таны компьютерийг хамгаалахад тусална.
Сүүлийн хэдэн сарын турш Microsoft хэд хэдэн оролдлого хийсэн ч засаж чадаагүй байсан Windows 10 болон Windows 11-ийн алдааг засахын тулд албан бус засвар шаардлагатай.
Техникийн хувьд давуу эрх нэмэгдүүлэх алдаа гэж ангилдаг бөгөөд энэ алдаа нь халдагчид компьютерт биечлэн хандах боломжтой бол администратор болох боломжийг олгодог. Сонирхолтой нь, Майкрософт уг алдааг 2021 оны 8-р сард анх зассан бөгөөд үүнийг илрүүлсэн судлаач засвар эвдэрсэн болохыг олж мэдсэн. Дараа нь Майкрософт үүнийг 2022 оны 1-р сард дахин зассан боловч энэ хоёр дахь засвар нь мөн үр дүнгүй болох нь тогтоогдсон.
"Харамсалтай нь аливаа борлуулагч эмзэг байдлыг засах оролдлого хийхээс илүү нийтлэг байдаг бөгөөд зөвхөн хүмүүс засвар нь байх ёстой шигээ бүрэн гүйцэд биш байгааг олж мэдэх болно, " Вилл Дорманн, Эмзэг байдал CERT/CC-ийн шинжээч Lifewire-д Twitter DM-д хэлэв.
Гурав дахь удаагаа азтай
Алдааг аюулгүй байдлын судлаач Абделхамид Насери олж илрүүлсэн бөгөөд дараа нь Microsoft-ын засваруудыг үр дүнгүй гэж үзжээ. Нэхэмжлэлээ батлахын тулд Насери эмзэг байдлыг ашиглах боломжтой хэвээр байгааг харуулахын тулд үзэл баримтлалын нотлох код гэж бичжээ.
Алдааг засах албан бус хувилбарыг гаргасан 0patch төслийн хамтран үүсгэн байгуулагч Митжа Колсек Lifewire-д цахим шуудангаар дамжуулан алдааг интернетээр алсаас ашиглах боломжгүй гэдгийг хэмнэж байна. Энэ нь халдагчдад таны машинд биечлэн хандах шаардлагатай эсвэл хүмүүсийг хууран мэхэлж, компьютерээ хариуцуулахын тулд халдвартай кодыг нь ажиллуулах арга олох болно гэсэн үг.
Алдааг техникийн хувьд задлахдаа Колсек ийм төрлийн алдаа дутагдлыг "засах нь хэцүү" гэж хэлсэн бөгөөд түүний баг өнгөрсөн хугацаанд ийм олон алдаа олсон байна. "Шударга хэлэхэд, хэрэв бидний хэн нэг нь ижил төстэй дутагдлуудын талаар мэдлэггүйгээр энэ алдааг засах гэж оролдсон бол бид дор хаяж хоёр удаа буруу засах байсан" гэж Колсек хэлэв.
Naceri Lifewire руу Twitter-ээр шууд мессеж илгээсэн бөгөөд 0patch-ийн гаргасан засвар нь асуудлыг амжилттай шийдвэрлэсэн болохыг баталгаажуулав. Мэдээллийн дагуу Майкрософт 0 засварыг хүлээн зөвшөөрсөн мэдэгдэл гаргаж, хэрэглэгчидээ хамгаалахын тулд шаардлагатай арга хэмжээ авах болно.
Нөхөөсний менежмент
Microsoft зэрэг програм хангамжийн үйлчилгээ үзүүлэгчид программ хангамжийнхаа асуудлыг засахын тулд шинэчлэлтүүдийг тогтмол гаргадаг тул 0patch зэрэг төслүүд нь ойлгомжгүй мэт санагдаж магадгүй.
Колсек ихэвчлэн эмзэг байдлыг тодорхойлох, засах хооронд маш их цаг хугацаа өнгөрдөг гэж тайлбарлав. Засварлагдаагүй сул талуудыг тэг өдөр гэж нэрлэдэг бөгөөд халдагчид ихэвчлэн саяхан нийтлэгдсэн эмзэг байдлыг томоохон програм хангамж үйлдвэрлэгчдийн хариу үйлдэл үзүүлэхээс хамаагүй хурдан мөлжлөг болгон хувиргадаг.
"Иймэрхүү эмзэг байдалтай тулгарах үед бид үүнийг лабораторидоо олшруулж, өөрсдөө засвар хийхийг оролддог. Нөхөөс хийж дууссаны дараа бид үүнийг серверээрээ дамжуулан 0patch-ын бүх хэрэглэгчдэд хүргэдэг бөгөөд 60-ийн дотор. минут, энэ нь 0 нөхөөсийн хамгаалалттай бүх системд хэрэглэгдэж байна" гэж Колсек тайлбарлав.
Мөн Naceri-н тодорхойлсон эмзэг байдлыг зассантай адил 0patch нь Microsoft-оос албан ёсны засвар гарах хүртэл засварууддаа төлбөр авдаггүй.
0patch нь Windows 7 зэрэг Windows-ын түгээмэл боловч дэмжигдээгүй хувилбаруудыг хамгаалахад тусалдаг. Энэ нь Microsoft-с албан ёсны засваруудыг хүлээн авдаггүй эсвэл шинэчлэлтүүд нь өндөр үнээр ирдэг Windows 10-ын өмнөх хувилбаруудыг ч дэмждэг. хамгаалалтгүй системийг үргэлжлүүлэн ажиллуулдаг энгийн хүмүүсээс тэднийг хол байлгах.
Kolsek одоог хүртэл дэмжигдсэн Windows хувилбарууд дээр хүмүүс 0patch-ийг өөр хувилбар биш харин албан ёсны засваруудын нэмэлт гэж үзэх ёстойг онцлоод 0patch нь бүх албан ёсны засваруудыг суулгасан компьютер дээр хамгийн сайн ажилладаг гэдгийг нэмж хэлэв.
