OZBILJAN PROPUST

Ako već niste, odmah nadogradite Windows 10, evo i zašto

  • Autor: Miroslav Wranka
  • Zadnja izmjena 17.01.2020 10:01
  • Objavljeno 17.01.2020 u 09:45
tportal

Izvor: Profimedia / Autor: Ingvar Björk / Alamy / Alamy / Profimedia

Otkriven je ozbiljan sigurnosni propust koji potencijalnim napadačima omogućava da se sa stotinjak linija računalnog koda lažno predstavljaju kao bilo koje web odredište na svijetu

Neposredno nakon što su u Microsoftu otkrili jedan od najvećoj sigurnosnih propusta u operativnom sustavu Windows ikad, istraživač Saleem Rashid pokazao je kako ju potencijalni napadači mogu zlorabiti i kriptografski se lažno predstavljati kao bilo koje web odredište ili poslužitelj na internetu.

Koristeći otkriveni propust, uspio je zavarati web preglednike Chrome i Edge iako oba koriste protokol HTTPS, lažno se predstavljajući kao web odredišta repozitorija Github i američke obavještajne agencije National Security Agency (NSA).

Za to je Rashidu trebalo tek oko sto linija računalnog koda, koje je mogao svesti na samo deset.

TEHNO PREGLED

Pogledajte najzanimljivije laptope s CES-a 2020!

Pogledaj galeriju
11

Iako postoje ozbiljna ograničenja i potencijalno veliki zahtjevi za zlorabu propusta u stvarnom svijetu, u NSA su ga označili kao ozbiljan i upozorili kako bi sofisticiraniji hakeri mogli brzo pronaći način kako ga upogoniti.

Web preglednik Brave i druge izvedenice Chromea vjerojatno su također izloženi riziku. Zasad nema naznaka kako bi Mozillin Firefox mogao imati sličnih problema.

Propust nazvan CVE-2020-0601 u Microsoftu su brže-bolje zakrpali nakon što su ih na njega privatnim kanalima upozorili iz NSA.

Može u potpunosti skršiti potvrde valjanosti za web odredišta, softverske nadogradnje, VPN-ove i i druge za sigurnost računala važne sigurnosne elemente. Pogađa izdanja Windows 10, Windows Server 2016 i Windows Server 2019. S ostalim izdanjima Windowsa zasad nema problema.

Postoje i ograničenja

Kako bi napad mogao biti uspješan vjerojatno mora imati aktivnog posrednika kako bi bilo moguće modificirati podatke dok prolaze računalnom mrežom, što u pravilu nije lako za izvesti. To se može zaobići tako što se žrtvu navede na klikanje lažnog URL-a, ali to traži pažljivije ciljanje i ovisi o tome hoće li žrtva nasjesti na prijevaru.

Također, potencijalna žrtva napada morala bi već posjetiti sporno web odredište, a Googleov Chrome koristi i mehanizam koji može spriječiti napad u određenim slučajevima.

Zaštititi se možete tako što ćete instalirati sigurnosnu zakrpu za Windows koju je Microsoft već objavio, kao i zakrpu koju će Google uskoro objaviti za Chrome. Ako ste namjestili Windows za automatsku nadogradnju, vaš je operativni sustav vjerojatno već zakrpan.

Ipak, nije zgorega provjeriti i obaviti nadogradnju ručno odmah ako se to nije dogodilo, piše Ars Technica.

Pregled tjedna bez spama i reklama

Prijavi se na naš newsletter i u svoj inbox primaj tjedni pregled najvažnijih vijesti!