Microsoft hat alle Chromium-Browser-Sandboxen mit einem Windows 10-Update kaputt gemacht
1 Minute. lesen
Aktualisiert am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Google hat entdeckt, dass Microsoft irgendwann mit Windows 10 1903 einen Fehler in das Betriebssystem eingeführt hat, der die Sandboxen für alle Chromium-basierten Browser kaputt gemacht hat.
Die Erklärung ist für einen Normalsterblichen eher zu kompliziert, aber es kam zu einer einzeiligen Änderung im Betriebssystemcode im Zusammenhang mit der Zuweisung von Sicherheitstoken.
NewToken->ParentTokenId = OldToken->TokenId;
wurde geändert in
NewToken->ParentTokenId = OldToken->ParentTokenId;
Sicherheitshinweis von Microsoft (CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability) erklärt es am prägnantesten:
Es besteht eine Sicherheitsanfälligkeit bezüglich der Umgehung von Sicherheitsfunktionen, wenn Windows Tokenbeziehungen nicht richtig handhabt.
Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte einer Anwendung mit einer bestimmten Integritätsstufe erlauben, Code auf einer anderen Integritätsstufe auszuführen, was zu einem Sandbox-Escape führt.
Wie Microsoft anmerkt (und Googles Project Zero entdeckte), ermöglicht die Änderung Hackern, der Chromium-Sandbox zu entkommen und beliebigen Code auszuführen.
Glücklicherweise hat Microsoft einen Patch veröffentlicht (KB4549951) am Patch Tuesday dieses Monats, obwohl wir tDas Hut-Update verursacht derzeit erhebliche Fehler.
Google stellt fest, dass Ihre Sicherheit nur so gut ist wie Ihr schwächstes Glied, in diesem Fall Windows.
Lesen Sie den vollständigen und detaillierten Blog-Beitrag von Google hier.
