Microsoft, Xbox oyun hizmetindeki bir güvenlik kusurunu doğruladı ve bunu düzelten bir yazılım güncellemesi yayınladı. Bunun öncesinde bunun bir güvenlik açığı olup olmadığı tartışıldı.
Duyuru
Filip Dragović güvenlik açığını keşfetti ve kavram kanıtı (PoC) istismarını içeren bir Github girişi yayınladı. Boşluk, varsayılan olarak etkin olmayan ancak Microsoft Store'dan Windows'a yüklenebilen Xbox GamingService hizmetiyle ilgilidir. Dragović'in açıkladığı gibi bu, sınırlı haklara sahip kullanıcıların SISTEMA haklarını elde etmesine olanak tanıyor (CVE-2024-28916, CVSS 8.8“Risk”yüksek“).Güvenlik açığı raporuna yanıt olarak Microsoft'tan şu yanıt alındı: Burada hiçbir güvenlik sınırının aşılmadığı görülüyor.”
Microsoft: sonraki U dönüşü
Ancak tanınmış siber güvenlik araştırmacısı Will Dormann, Dragović'in tarafını tuttu.
“Anlıyorum ki MSRC [Microsoft Security Response Center, Anm. der Redaktion] bazı şeyler için (örneğin yöneticiden çekirdeğe) güvenlik sınırının ne olduğu ile neyin olmadığı arasında sıklıkla gidip gelir. Ancak yönetici olmayan kullanıcılar SİSTEM haklarını tekrarlanabilir bir şekilde elde edebildiğinde ve MSRC “burada hiçbir güvenlik sınırının aşılmadığını” belirttiğinde, kimse şaşırmamak elde değil, diye yazıyor Dormann, eski Twitter X'te.
Görünüşe göre bu tür tepkiler Microsoft'un derecelendirmeyi yeniden incelemesine yol açtı. Kısa bir süre sonra Dragović, X'e Microsoft'un derecelendirmeyi düzelttiğini yazdı.
“MSRC birdenbire bunun gerçek bir sorun olduğunu düşünmeye başladı. Yüksek sesle gülüyorum [Lmao]”, diye yazdı Microsoft'tan gelen bir mesajın ekran görüntüsüne Dragović. Sonuç olarak MSRC şunları yazdı: “Diğer ekip üyelerinden vakaya bir kez daha bakmalarını istedik. “Bunun önemli bir tehdit olduğu sonucuna vardık ve bildirilen sorunu düzeltmesi için ekibe bilgi verdik.”
Bu hafta Çarşamba günü Microsoft, güvenlik açığıyla ilgili bir söylenti yayınladı. Boşluk riski değerlendirmesi, CVSS değeri 8,8 ile “kritik” eşiğe yaklaştı. Güncellemenin daha sonra otomatik olarak dağıtılması gerekir. Gerekirse, Windows Update'i çağırıp güncellemeleri orada arayarak kurulum hızlandırılabilir. Sürüm 19.87.13001.0 ve üzeri güvenlik hatasını düzeltir. Sürüm, Windows Powershell'de şu komutla bulunabilir: get-appxpackage Microsoft.GamingServices kontrol edin, diye ekliyor Microsoft.
(Bilmiyorum)
Haberin Sonu
Duyuru
Filip Dragović güvenlik açığını keşfetti ve kavram kanıtı (PoC) istismarını içeren bir Github girişi yayınladı. Boşluk, varsayılan olarak etkin olmayan ancak Microsoft Store'dan Windows'a yüklenebilen Xbox GamingService hizmetiyle ilgilidir. Dragović'in açıkladığı gibi bu, sınırlı haklara sahip kullanıcıların SISTEMA haklarını elde etmesine olanak tanıyor (CVE-2024-28916, CVSS 8.8“Risk”yüksek“).Güvenlik açığı raporuna yanıt olarak Microsoft'tan şu yanıt alındı: Burada hiçbir güvenlik sınırının aşılmadığı görülüyor.”
Microsoft: sonraki U dönüşü
Ancak tanınmış siber güvenlik araştırmacısı Will Dormann, Dragović'in tarafını tuttu.
“Anlıyorum ki MSRC [Microsoft Security Response Center, Anm. der Redaktion] bazı şeyler için (örneğin yöneticiden çekirdeğe) güvenlik sınırının ne olduğu ile neyin olmadığı arasında sıklıkla gidip gelir. Ancak yönetici olmayan kullanıcılar SİSTEM haklarını tekrarlanabilir bir şekilde elde edebildiğinde ve MSRC “burada hiçbir güvenlik sınırının aşılmadığını” belirttiğinde, kimse şaşırmamak elde değil, diye yazıyor Dormann, eski Twitter X'te.
Görünüşe göre bu tür tepkiler Microsoft'un derecelendirmeyi yeniden incelemesine yol açtı. Kısa bir süre sonra Dragović, X'e Microsoft'un derecelendirmeyi düzelttiğini yazdı.
“MSRC birdenbire bunun gerçek bir sorun olduğunu düşünmeye başladı. Yüksek sesle gülüyorum [Lmao]”, diye yazdı Microsoft'tan gelen bir mesajın ekran görüntüsüne Dragović. Sonuç olarak MSRC şunları yazdı: “Diğer ekip üyelerinden vakaya bir kez daha bakmalarını istedik. “Bunun önemli bir tehdit olduğu sonucuna vardık ve bildirilen sorunu düzeltmesi için ekibe bilgi verdik.”
Bu hafta Çarşamba günü Microsoft, güvenlik açığıyla ilgili bir söylenti yayınladı. Boşluk riski değerlendirmesi, CVSS değeri 8,8 ile “kritik” eşiğe yaklaştı. Güncellemenin daha sonra otomatik olarak dağıtılması gerekir. Gerekirse, Windows Update'i çağırıp güncellemeleri orada arayarak kurulum hızlandırılabilir. Sürüm 19.87.13001.0 ve üzeri güvenlik hatasını düzeltir. Sürüm, Windows Powershell'de şu komutla bulunabilir: get-appxpackage Microsoft.GamingServices kontrol edin, diye ekliyor Microsoft.
(Bilmiyorum)
Haberin Sonu