Kritická chyba ve Windows Defenderu: útočníci by mohli zaplnit celý pevný disk

Microsoft zveřejnila bezpečnostní záplatu pro nulu-denní chybu ve Windows Defenderu, která by mohla dovolit útočníkům zaplnit úložiště počítače. Konflikt mezi bezpečnostním výzkumcem NightmareEclipse a technologickým gigantem podle všeho pokračuje.
Windows Defender se opět dostal do hledáčku bezpečnostních vědců. Tentokrát se jedná o závažnou chybu typu zero-day, kterou objevil nezávislý bezpečnostní výzkumce NightmareEclipse. Hrozba tkví v tom, že by mohla být zneužita k zaplnění pevného disku cílového počítače, což by vyústilo v jeho úplné nefunkčnosti.
Problém leží v mechanismu, jak antivirový software zpracovává určité typy souborů a matic. Pokud by útočník dokázal správně zformulovat speciálně připravenou datovou sekvenci, mohl by Windows Defender přinutit k vytváření velkého množství zbytečných dat v systémovém adresáři. Tímto způsobem by postupně dojít k zapełnění dostupného místa na disku, což vede k denial-of-service útoku na daný systém.
Microsoft na zranitelnost reagoval vydáním bezpečnostní aktualizace. Všichni uživatelé operačního systému Windows jsou vyzýváni k okamžité instalaci dostupné záplaty. Důležité je zmínit, že Microsoft dlouhodobě upozorňuje na nutnost udržování antivirového softwaru v aktuálním stavu, jelikož se jedná o kritickou vrstvu ochrany počítače.
Střet mezi výzkumcem NightmareEclipse a Microsoftem však podle všeho nemá znak ke konce. V minulosti se mezi nimi vyskyty spory týkající se způsobu, jak jsou bezpečnostní chyby zveřejňovány a řešeny. Výzkumce kritizoval Microsoftem zvolenou dobu na opravu chyb, zatímco technologická společnost trvala na svém přístupu k bezpečnosti a odpovědnému zveřejňování informací o zranitelnostech.
Tento případ opět poukazuje na důležitost bezpečnostního výzkumu a spolupráce mezi specialisty na kybernetickou bezpečnost a výrobci softwaru. Transparentní a konstruktivní dialog je klíčem k tomu, aby byli uživatelé chráněni před rostoucím počtem hrozeb v digitálním světě.
Zdroj: Ars Technica
Rubrika: AI & Technologie