Asosiy takliflar
- Windows 10 va Windows 11-da Microsoft avvalgi ikki urinishga qaramay tuzata olmagan xatolik bor.
- Xatolik uchun norasmiy tuzatish 0patch loyihasi tomonidan bepul chiqarildi.
-
Mutaxassislarning fikricha, 0patch kabi loyihalar kompyuteringizni zaiflik rasmiy tuzatmaguncha himoya qilishga yordam beradi.
Windows 10 va Windows 11-dagi kamchilikni tuzatish uchun norasmiy yamoq kerak boʻldi, Microsoft soʻnggi bir necha oy davomida bir necha urinishlarga qaramay tuzata olmagan.
Texnik jihatdan imtiyozlarning kuchayishidagi nuqson sifatida tasniflangan xatolik tajovuzkorlarga kompyuterga jismoniy kirish imkoniga ega boʻlsa, administrator boʻlish imkonini beradi. Qizig‘i shundaki, Microsoft xatoni birinchi marta 2021-yil avgustida tuzatdi, uni aniqlagan tadqiqotchi tuzatish buzilganligini aniqladi. Microsoft 2022-yil yanvar oyida uni yana tuzatdi, ammo bu ikkinchi tuzatish ham samarasiz deb topildi.
"Afsuski, har qanday sotuvchining zaiflikni tuzatishga urinishi odatdagidan ko'ra tez-tez uchraydi, faqat odamlar tuzatish kerakli darajada to'liq emasligini bilib oladi, " Will Dormann, Zaiflik Bu haqda CERT/CC tahlilchisi Lifewire’ga Twitter DM orqali ma’lum qildi.
Uchinchi marta omad
Xatolik xavfsizlik tadqiqotchisi Abdelhamid Naceri tomonidan aniqlangan, keyin u Microsoft yamoqlarini samarasiz deb rad etgan. Naceri o'z da'vosini tasdiqlash uchun zaiflikdan hali ham foydalanish mumkinligini ko'rsatish uchun kontseptsiyani isbotlovchi kod deb nomlanuvchi kodni yozdi.
Xatolik uchun norasmiy tuzatishni chiqargan 0patch loyihasi hammuassisi Mitja Kolsek Lifewire’ga elektron pochta orqali xabar berishicha, tejamkorlik uchun yagona imkoniyat bu xatolikdan internet orqali masofadan turib foydalanish mumkin emasligidir. Bu shuni anglatadiki, tajovuzkorlar kompyuteringizga jismoniy kirishga muhtoj bo‘ladi yoki odamlarni aldash yo‘lini topib, o‘z kompyuterini boshqarish uchun o‘zlarining yuqumli kodlarini ishga tushiradi.
Xatoni texnik jihatdan ajratar ekan, Kolsek bu xarakterdagi kamchiliklarni "tuzatish qiyin" ekanligini aytdi va uning jamoasi o'tmishda bunday kamchiliklarni ko'p topgan. "Adolatli bo'lsak, agar biron birimiz hozirda shunga o'xshash kamchiliklar borligini bilmagan holda bu kamchilikni tuzatishga harakat qilsak, biz ham uni kamida ikki marta noto'g'ri tuzatgan bo'lardik", dedi Kolsek.
Naceri 0patch tomonidan chiqarilgan tuzatish muammoni muvaffaqiyatli hal qilganini tasdiqlash uchun Twitter orqali Lifewire-ga toʻgʻridan-toʻgʻri xabar yubordi. Xabarlarga koʻra, Microsoft 0patchni tan olgan va oʻz mijozlarini himoya qilish uchun zarur choralarni koʻradi.
Yamoqlarni boshqarish
0patch kabi loyihalar notoʻgʻri koʻrinishi mumkin, chunki Microsoft kabi dasturiy taʼminot provayderlari oʻz dasturiy taʼminotidagi muammolarni tuzatish uchun muntazam ravishda yangilanishlarni tarqatib turadi.
Kolsekning tushuntirishicha, odatda zaiflikni aniqlash va tuzatish oʻrtasida koʻp vaqt oʻtadi. Tuzatilmagan zaifliklar nol kunlar deb nomlanadi va tajovuzkorlar odatda yangi eʼlon qilingan zaiflikni yirik dasturiy taʼminot sotuvchilari javob berishidan ancha tezroq ekspluatatsiyaga aylantiradilar.
"Bunday zaiflikka duch kelganimizda, biz uni laboratoriyamizda ko'paytirishga va o'zimiz uchun yamoq yaratishga harakat qilamiz. Yamoq bajarilgandan so'ng, biz uni barcha 0patch foydalanuvchilariga serverimiz orqali va 60 muddat ichida yetkazib beramiz. daqiqa, u barcha 0patch bilan himoyalangan tizimlarda qo'llaniladi ", deb tushuntirdi Kolsek.
Va xuddi Naceri tomonidan aniqlangan zaiflik tuzatishi kabi, 0patch ham Microsoft tomonidan rasmiy tuzatish kiritilmaguncha uning yamoqlari uchun haq olmaydi.
0patch, shuningdek, Windows 7 kabi mashhur, ammo qoʻllab-quvvatlanmaydigan Windows versiyalarini himoyalashga yordam beradi. U hatto Windows 10 ning Microsoft’dan rasmiy yamoqlarni olmagan ayrim oldingi versiyalarini ham qoʻllab-quvvatlaydi yoki yangilanishlar qimmat narxda sotiladi. ularni himoyalanmagan tizimlarni ishlatishda davom etadigan oddiy odamlar qo'li etmaydigan joyda saqlash.
Kolsek hali ham qoʻllab-quvvatlanadigan Windows versiyalarida odamlar 0patchni muqobil emas, balki rasmiy yamoqlarga qoʻshimcha sifatida oʻylashlari kerakligini taʼkidladi va 0patchlar barcha rasmiy yamalar oʻrnatilgan kompyuterlarda eng yaxshi ishlashini qoʻshimcha qildi.