Sebagai bagian dari Patch Tuesday, Microsoft telah merilis 120 pembaruan keamanan untuk Windows 10 pada 11 Agustus 2020. Salah satu pembaruan tersebut memperbaiki bug CVE-2020-1509, yang dilaporkan ke Microsoft pada 5 Mei oleh peneliti GPZ (Google Project Zero) Windows James Forshaw.
Masalahnya, seperti yang diungkapkan James Forshaw, perbaikan tersebut tidak benar-benar memperbaikinya sepenuhnya.
Bug ini memungkinkan penyerang jarak jauh yang sudah mendapatkan kredensial akun Windows di jaringan untuk meningkatkan hak istimewanya setelah mengirim permintaan otentikasi yang dibuat khusus ke Windows Local Security Authority Subsystem Service (LSASS).
Tim Google Project Zero memiliki aturan pengungkapan 90 hari yang cukup ketat. Jika vendor yang bersangkutan belum menambal kerentanan dalam 90 hari, Project Zero akan mempublikasikannya.
Awalnya dilaporkan ke Microsoft pada 5 Mei, dan perpanjangan telah diberikan pada 30 Juli.
Tidak mengherankan bahwa keputusan untuk tidak memperpanjang dibuat karena pengungkapan telah dipublikasikan, bersama dengan proof of concept, ketika diperkirakan bahwa perbaikan Patch Tuesday telah memperbaikinya.
Laporan keamanan Microsoft menyatakan bahwa tidak ada mitigasi atau solusi untuk kerentanan ini. Juga, pada titik ini, tidak ada indikasi kapan perbaikan penuh akan tersedia.
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes
