Két éve kihasznált 0day sebezhetőséget javított a Microsoft a Patch Kedd-i frissítéscsomagjában

A Microsoft kedden javította a Windows Win32 kernel egy nulladik napi sebezhetőségét, amelyet 2023 márciusa óta kihasználtak. A CVE-2025-24983 azonosítón követett (CVSS pontszám: 7,0) problémát a Win32 kernel alrendszer egy use-after-free hibájaként írják le, amely lehetővé teheti a támadók számára, hogy rendszerszintű jogosultságokat szerezzenek.

Ebből következik, hogy már csak ezért is mielőbb érdemes a márciusi frissítéseket mielőbb telepíteni a támogatott Windows rendszereken.

Hozzászólások

Ha 2 évet kibírt egy 0-day hiba (eleve ki tudja mióta ismerték / használták ki akik tudtak róla, mielőtt CVE lett volna belőle), akkor azt a plusz 1-2 hetet, amíg kiderül mi más kolosszális elbaszódást okoz a peccs telepítése, már fél lábbal is kibírja minden IT üzemeltető.

Azaz, jól mondod! A céges lenovo laptopok 4 éves (2021 tavaszi) bios-al mennek mai napig is, mert a naccságos IT baszik lefuttatni a lenovo update-ket 2-3 tesztmasinán, hogy utána kitolják. Nekem meg nincs jogom megapdételni. Kb. 12-13 bios update kijött már ehhez a típushoz 21 tavasz óta. Secu update egy tonnányi, azt igazából én is leszarom (IT is pont leszarja). De mellette még  fél tucat cpu mikrokód update, hdmi/type-C kimenet bug-ok, FAN/thermal javítások, volna miért felrakni. Észnélkül bekapcsol fél napokra a venti terheletlen idle állapotban is, kollégák gépei-ben a FAN-ok döglöttek meg 2-3 év után. De nem számít, mert FAN-t nem cserélnek, megy komplett gépcserére.

Mi frissítgettük a biosokat ugyanazokon a hulladékokon, ne hidd, hogy ettől jobb lett, csak teljesen más problémákra cserélődtek, nèha visszatértek teljesen más kombinációban, a ventik így is döglődtek, néha a webkamera zöldes néha lilás lett a Teamsben, miközben a lenovo tagadott annak ellenére, hogy ugyanarra a gépre ha visszaraktuk a régebbi firmwaret mágikusan az pont nem volt hiba

Regebben en is frissitgettem bios-t.

Aztan a dell ugy dontott, hogy a linux-al szallitott laptopjara letol egy update-t (amit a szallitott ubuntu frankon applikalt is, 100% linuxbol), hogy a proci s3 sleep-jet letiltsa, mert a win10-ben fagyogat.

Nem erdekli oket, hogy linuxot hasznalsz, IJ.

Azota nem rohangalok firmware-t frissiteni...

jajj, nekem egyszer frissítette a dell a billentyűzet firmware-ét a laptopban és utána csak windows alatt a f2,2,3,w,s,x gombokat nem érzékelte, de ha más gombbal együtt nyomtam meg, akkor igen, ha más gombbal együtt megnyomtam, de a másikat elengedtem, akkor megint érzékelte, és így tovább. Minden oprendszeren, kivéve a biosban. Ott minden jól ment. Elköltöttem vagy 30.000 forintot, mire kicseréltem a bbillenytűzetet, amit szerencsére csak palmresstel együtt lehetet, mire nagykegyesen, háromnegyed év után kiadott egy másik frissítést, ami megoldotta a hibát. De nem volt downgrade, semmi.

Ha nincs elismerve nincs mellé SLA, a fizető felhasználó így nem nyöszöröghet.

Jaja, nagy faszkalap banda az MSRC is, twitteren... óbocsássmeg X-en van pár tucat security researcher, akik kb. abból élnek hogy bug-okat keresnek, és fejpénzért jelentgetnek le a vendoroknak. Na ott sok sztori forog publikusan, mekkora cigányok a mikroszoft bughunter team-esek. Ezért sokan már nem is állnak le velük harcolni, hanem kibasszák publik-ba a bug-ot, esetleg még POC-et is raknak mellé. Így az MSRC-nek esélye sincs elkezdeni az időhúzásos, minden miatt bounty-csökkentő kekeckedős, public disclosure-megtiltós játékait.

Ebben sajnos van valami. Bár szerintem nagy fallout nem lesz ebből, a legtöbb felhasználó nem nagyon tudja letiltani a frissítéseket, szinte mindenki fel fogja tenni, de azért szurkolok, hogy a MS feldűhítsen minél több felhasználót. Ez most a sportjuk mostanában, hogy próbálják elűzni azokat a userekeiket is, akik eddig kitartottak a Windows mellett.

The world runs on Excel spreadsheets. (Dylan Beattie)

Na most az van, hogy a MS megint jól tönkretett egy bugot, és erre büszke.

Másrészt meg nincs miért parázni, hiszen manapság nem lehet komoly egy sérülékenység, ha még saját logója sincs... :-)

Most akkor 2 éves vagy 0 napos?

(Csak szerintem baromság a 0-day elnevezés?)