Chyba ve Windows umožňuje zvýšit oprávnění účtu, lze zneužít i vzdáleně

Webové aplikace mají obvykle nastavená velmi nízká oprávnění, uživatelé je však kvůli chybě mohou zvýšit a dostat se až k oprávnění účtu LocalSystem...



Microsoft varuje uživatele před chybou v systémech Windows, která útočníkovi umožňuje zvýšit svá uživatelská oprávnění, „úroveň účtu“.

Chyba se týká systémů Windows XP Professional SP2, Windows Vista a nových serverových produktů (Windows Server 2003 a Windows Server 2008). Útočník může chybu zneužít a výrazně zvýšit oprávnění svého účtu na kompromitovaném počítači. Ačkoliv se problém týká místního operačního systému, zneužít lze i v rámci webových aplikací spuštěných jako Internet Information Services nebo na SQL Serveru.
Webové aplikace mají obvykle nastavená velmi nízká oprávnění, uživatelé je však kvůli chybě mohou zvýšit a dostat se až k oprávnění účtu LocalSystem (účet jinak viditelný pouze na místním počítači), který už není daleko od oprávnění správce systému. Zatím ale není známo, že by v důsledku chyby došlo k nějakým reálným škodám.

Oprava chyby není v tuto chvíli k dispozici.

Zdroj: Computerworld.com

Viz také:
Microsoft vydá opravu pro Windows Home Server až v červnu
Záplaty Microsoftu na příští týden: Windows Vista SP1, Server 2008, Internet Explorer
Windows XP SP3 : Microsoft opravil kritickou chybu










Komentáře