Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Исследователи из команды Trend Micro Zero Day Initiative (ZDI) опубликовали информацию о пяти неисправленных уязвимостях в Windows, четыре из которых имеют высокую степень риска.
Три уязвимости нулевого дня, получившие идентификаторы CVE-2020-0916, CVE-2020-0986 и CVE-2020-0915, набрали 7 баллов из 10 возможных по шкале оценки уязвимостей CVSS. По сути, три эти проблемы могут позволить злоумышленнику повысить свои привилегии в уязвимой системе до уровня текущего пользователя. К счастью, злоумышленникам, которые решат эксплуатировать эти баги, сначала придется получить низко привилегированный доступ к целевой системе.
Корень этих проблем заключается в хост-процессе драйвера принтера splwow64.exe, работающем в user-mode: предоставляемые пользователем входные данные не проходят должной валидации перед разыменованием указателя.
Тот же процесс splwow64.exe подвержен еще одной, менее серьезной проблеме, отслеживаемой как CVE-2020-0915. Уязвимость набрала лишь 2,5 балла по шкале CVSS и тоже возникает из-за отсутствия должной валидации предоставляемых пользователем данных.
Эксперты пишут, что уведомили Microsoft об этих проблемах еще в декабре 2019 года, и компания намеревалась включить патчи для них в состав майского «вторника обновлений». Однако уложиться в этот срок инженеры компании не сумели, и пока исследователям ZDI были предоставлены лишь бета-версии патчей для тестирования, а конечные пользователи исправлений не получали.
Еще одну уязвимость, которая не имеет идентификатора CVE, специалисты ZDI выявили в январе текущего года. Этот баг так же позволяет злоумышленникам повышать свои привилегии и связан с тем, как система обрабатывает профили подключений WLAN. Исследователи считают, что этот баг можно оценить примерно на 7 баллов по шкале CVSS. В данном случае хакеру тоже сначала придется получить доступ к целевой системе, и лишь потом эксплуатировать проблему.
«Создав вредоносный профиль, злоумышленник может узнать учетные данные для учетной записи компьютера. Атакующий может использовать эту уязвимость для повышения своих привилегий и выполнения кода в контексте администратора», — пишут эксперты.
Интересно, что инженеры Microsoft вообще не намерены исправлять эту проблему, во всяком случае, не в ближайшем будущем.
|
|