เปิดตัวการแก้ไขช่องโหว่ CVE-2019-1286 (Windows 2000) Microsoft Windows CreateXlateObject Out-Of-Bounds Write Privilege Escalation Vulnerability

ข้อมูลช่องโหว่นี้ คะแนน 8.8/10 

ช่องโหว่นี้ทำให้ผู้โจมตีภายในสามารถยกระดับสิทธิ์ในการติดตั้ง Microsoft Windows ที่ได้รับผลกระทบได้ ผู้โจมตีต้องได้รับความสามารถในการรันโค้ดที่มีสิทธิ์ต่ำบนระบบเป้าหมายก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้

ข้อบกพร่องเฉพาะนี้พบในฟังก์ชัน CreateXlateObject ใน win32k.sys ปัญหานี้เกิดจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ให้มา ซึ่งอาจส่งผลให้เกิดการเขียนข้อมูลนอกขอบเขตของอาร์เรย์ที่จัดสรรไว้ ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์และรันโค้ดในบริบทของ SYSTEM

----------------------------------

INFO : Microsoft

           : ZDI 19-982 (zerodayinitiative.com)

Patch : Mega

เวอร์ชั่นสำหรับ Windows XP รอก่อนนะครับ ใช้เวลานานมากในการที่จะแก้ไขไฟล์ Win32k.sys

------------------------------------

ขอบคุณผู้ช่วยสร้าง : Start Me Up - MSFN

สนับสนุนไฟล์ : ผมเอง