嫌微軟減獎金 研究員直接發佈Win10漏洞

Okt04175

近年人們越來越重視自己的數據安全，最近一名研究人員就對外公佈了 Windows 10 一個安全漏洞，可以讓沒有權限的人透過 Hyper-V 在電腦 systems32 資料夾中新增任何不能刪除或修改的檔案，包括惡意程式。但目前 Windows 10 Pro 版本中的 Hyper-V 是關閉的，只有在開啟 Sandbox 功能時才會啟動。



最近美國一名長期從事截取漏洞的研究人員 Jonas Lykkegaard 向外公佈發現 Windows 10 一個安全漏洞，只要 Windows 10 開啟 Hyper-V，就可以讓任何沒有權限的人在電腦的 systems32 資料夾中內新增任何檔案，包括惡意程式，而這個檔案一旦被寫入就不能刪除或修改。



Jonas Lykkegaard 指他只花 30 小時便找到這個漏洞，並稱 Microsoft 最近將漏洞通報獎金由 2 萬降低至 2 千美元，通報後折合只能獲得 66 美元的時薪實在不值，甚至通報後亦未必受理，因此選擇索性將之公佈。雖然 Windows 10 Pro、企業（Enterprise）及教育（Education）版中的 Hyper-V 是關閉的，使用戶安下心來。但據外媒報道，若使用者開啟 Sandbox 功能，就會自動啟動 Hyper-V，因此也必須注意。

其實 Jonas Lykkegaard 早在7月已宣稱向 Microsoft 通報多個漏洞，總值超過 10 萬美元，但他認為 Microsoft 表面上是希望爭取修補時間，實則上是不想付錢。他更指出自己已長達7個月沒拿到 Microsoft 任何獎金，因此才選擇逐次公開所有他通報的漏洞。

美國電腦緊急回應小組（CERT）研究人員 Will Dormann 回應認為，這個漏洞相當嚴重，若有黑客在他人的系統 systems32 資料內成功新增 WD.dll，將會導致嚴重後果。

https://unwire.hk/2020/09/13/win ... 2-file/tech-secure/

Bug10開發Team成日掛著剷除Win32/64 API底嘅系統野搏命換做UI同功能都陽春嘅UWP底版本，就連UI樣式都差啲想將Win7套KB/Mouse Layout剷埋焗人用Touchscreen Layout，成日自以為UWP版陽春APP加套Touchscreen Layout啱晒全天下電腦/使用者搏剷命舊野。
花邊野成日做反而基本野就唔做好又唔肯聽使用者嘅批評，咁家陣成日都Fix1個Bug/漏洞就誕生多幾個Bug/漏洞都預咗，而且漏洞通報獎金縮晒水搞到人哋直接向外公佈完全係抵佢死。

長期半送半賣Win10、放任啲人賣唔合法Win10 Key又唔Ban嗰的Key、刻意停Win7免費更新、安派打手四圍吹到Win10上天而Win8.1或更舊嘅Windows就踩到垃圾咁款、又夾埋Intel去威逼利誘其他硬體廠唔出Win7官方Driver焗人自己去改/移植Driver畀XP/Win7/Win8.1、又違背承諾唔肯完全下放DX12落Win7/Win8.1、2019年中到2020年頭向Win7提供嘅更新有唔少都想放毒咁，印度佬話事嘅M$寧可用咁多乞人憎手段去硬推Win10又使咁多錢去做宣傳都唔肯認真檢討Win10嘅開發方式有乜問題搞出咁多問題又令到唔少人唔情願用Win10，咁Win10緊係5年時間都冇辦法取代到佢啲前輩嘅地位。

如果印度佬話事嘅M$肯定改善態度尊重下使用者認真改善Win10，咁Win10先真正搣得走BUG10呢個稱號，否則啲Hacker會持續將Win7改到可以一直到Win10X正式推出都可以喺新Desktop底板度如常安裝使用，M$做唔好Win10又要硬推先會搞到啲人不斷為Win7續命。

daemongmong

沒有一個系統沒有漏洞，連Linux和iOS等等也是不停被發現漏洞，但當然Linux較快地修復相關問題。

Windows 10最主要問題，還是微軟要節省開支，取消了QA部門，雖然QA不可能發現到所有問題，只是至少可保證產品能使用，發現重大問題時有助盡早修復問題。

via HKEPC Reader for Android

gakko

斷人財路唔怪得比人
本來WIN WIN既一件事搞成咁

Okt04175

沒有一個系統沒有漏洞，連Linux和iOS等等也是不停被發現漏洞，但當然Linux較快地修復相關問題。

Windows 1 ...
daemongmong 發表於 2020-9-23 20:39

問題關鍵唔止QA Team存在與否，決定將Windows當成電話APP咁隨意開發嘅CEO、只聽使用者嘅贊賞聲音無視晒批評反對聲音、改用可能本身有Bug有可能將Bug當正常嘅AI程式加VM程式取代真人做Debug、為改而改格硬改走實用嘅舊版野等都係大問題嚟，身為最新一代嘅Win10出新Bug/漏洞嘅頻率反而係歷代之首就係唔可以接受嘅，唔係話唔可以有Bug/漏洞但係唔應該多到成為歷來最多嗰個，而且積埋一堆由初版開始就存在嘅問題一直唔理就更加唔可以接受！

樹下乘涼

2千蚊[人地係賺美元洗美元所以用蚊]一個....
你估1個鐘就搵到個咩[擁高技術既人]

Okt04175

2千蚊[人地係賺美元洗美元所以用蚊]一個....
你估1個鐘就搵到個咩[擁高技術既人] ...
樹下乘涼 發表於 2020-9-24 09:41

我睇M$將漏洞通報獎金縮水十倍無非係小學雞脾氣發作，原本M$期望啲人通報多啲歷代Windows都有嘅漏洞然後佢只出修補Patch畀Win10借機去宣傳Win10同踩低Win8.1/Win7，不過一路以嚟通報嘅漏洞普遍係Win10獨有嘅居多變相特顯咗Win10就係BUG10嘅問題，家陣M$只關心Win10夠唔夠多人用嘅方向去諗就唔難理解做乜事會獎金縮水咗成十倍。
M$家陣擺明係覺得呢個獎金計劃無助佢更有效咁宣傳Win10，所以想出少啲錢變相減低啲研究員通報漏洞嘅意欲從而幫Win10遮醜，嗰印度佬CEO覺得啲人唔提出問題咁問題就唔存在，佢啲思想同作風都咁似鄰國嗰套難怪Win10成陣中國盛產嘅流氓程式/惡意程式嘅味道喺度。

樹下乘涼

我睇M$將漏洞通報獎金縮水十倍無非係小學雞脾氣發作，原本M$期望啲人通報多啲歷代Windows都有嘅漏洞然後佢 ...
Okt04175 發表於 2020-9-24 11:28

    用印度人=搞死自己..唔明點解上到位....

Kin_2012

回覆 1# Okt04175

除左以上的罪惡， 仲有 WIn10 的老強 -  霸凌式的私隱侵犯 同 任意更新 !

daemongmong

回覆  Okt04175

除左以上的罪惡， 仲有 WIn10 的老強 -  霸凌式的私隱侵犯 同 任意更新 ! ...
Kin_2012 發表於 2020-9-24 12:10

強制更新出發點不是不好，起碼可減慢病毒的蔓延速度，但Windows更新機制差，需要大量時間更新，不像其他系統一般可不用重啟系統。

via HKEPC Reader for Android

Kin_2012

強制更新出發點不是不好，起碼可減慢病毒的蔓延速度，但Windows更新機制差，需要大量時間更新，不像其他 ...
daemongmong 發表於 2020-9-24 12:26

老強出發點不是不好， 真係得你講得出

霸凌式的私隱侵犯有咩好處?