WindowsBezpečnostní chyba umožňuje získání administrátorských práv ve Windows 10 pomocí periferií Razer

Bezpečnostní chyba umožňuje získání administrátorských práv ve Windows 10 pomocí periferií Razer

V softwaru Razer Synapse byla objevena znepokojivá bezpečnostní chyba, kterou lze zneužít k získání práv správce v operačním systému Windows 10.

Při používání systému Windows 10 je běžný uživatel omezen v provádění změn v systému, pokud nemá všechna potřebná oprávnění. Uživatel vystupující na Twitteru pod přezdívkou „jonhat“ zveřejnil bezpečnostní chybu, díky které může neoprávněný uživatel získat přístup k právům správce. Příspěvek obsahuje video, které ukazuje, jak jednoduché je zneužít nově objevenou bezpečnostní chybu.

Po připojení zařízení Razer načte Windows instalační program Razer obsahující software ovladače a nástroj Synapse. V rámci instalační procedury se otevře okno Průzkumníka, které uživatele vyzve k výběru místa, kam má být ovladač nainstalován. Tato instalační rutina je spuštěna se zvýšenými právy správce, což jsou nejvyšší práva dostupná v systému Windows 10.

Jonhat zjistil, že pokud se uživatel rozhodne změnit výchozí umístění instalační složky, což vyvolá dialogové okno „Vyberte složku“, může uživatel kliknout pravým tlačítkem myši na instalační okno a stisknutím klávesy Shift otevřít terminál Powershell s právy správce.

Chyba se dá využít i bez periferií Razer

Další uživatel v reakci na tweet tvrdil, že tento typ útoku funguje také s jakoukoli myší Asus ROG. Ta vyzve k instalaci Armory Crate a spustí ji se stejnými zvýšenými systémovými právy. Někteří uživatelé dokonce ukázali, že k využití bezpečnostní chyby není potřeba ani žádná periferie. Uživatel an0n_r0 na Twitter zveřejnil video, kde stejnou chybu zneužil jen pomocí Android telefonu.

Společnost Razer poté poskytla své prohlášení a ujistila, že její bezpečnostní tým pracuje na opravě:

„Byli jsme upozorněni na situaci, kdy náš software ve velmi specifickém případě použití poskytuje uživateli širší přístup k jeho počítači během procesu instalace,“ uvedla společnost. „Problém jsme prošetřili a v současné době provádíme změny v instalační aplikaci, abychom tento případ použití omezili. Použití našeho softwaru (včetně instalační aplikace) neumožňuje neoprávněný přístup třetích stran k počítači.“

„Jsme odhodláni zajistit digitální bezpečnost a zabezpečení všech našich systémů a služeb, a pokud narazíte na jakékoli potenciální nedostatky, vyzýváme vás, abyste je nahlásili prostřednictvím naší služby odměn za chyby Inspectiv: https://app.inspectiv.com/#/sign-up,“ dodala společnost.

Přestože uživatel jonhat zveřejnil chybu veřejně, nabídla mu společnost odměnu za zjištění chyby. Jakou částku mu ale nabídla už uživatel neuvedl.

Reklama

Doporučujeme

PlayStation odkládá uvedení ovladače FlexStrike

Fanoušci bojových her si na nový bezdrátový ovladač FlexStrike od PlayStation budou muset počkat déle. Sony krátce před plánovaným uvedením oznámilo odklad kvůli problémům ve výrobě. Nový termín zatím nestanovilo, slibuje ale další informace v nejbližší době.

Microsoft přehlížel chybu v Secure Boot déle než deset let

Výzkumníci z bezpečnostní společnosti ESET objevili skupinu starých UEFI zavaděčů, které Microsoft podepsal a dlouhá léta je ponechal důvěryhodné. Útočníci díky nim mohli obejít ochranu Secure Boot a otevřít cestu škodlivému kódu, který se usadí hluboko v systému. Microsoft už část problému opravil, odborníci ale upozorňují, že pátrání zdaleka nekončí.

OpenAI chystá chytrý reproduktor bez displeje

OpenAI podle dostupných informací připravuje svůj první hardwarový produkt. Půjde o přenosné zařízení bez displeje, které propojí schopnosti ChatGPT s funkcemi chytré domácnosti. Novinka má fungovat jako osobní AI společník, postupně se učit z návyků svého majitele a nabídnout mnohem osobnější komunikaci než dnešní chytré reproduktory.

Google Pixel 11 se ukázal na obrázcích ve třech barvách

Nové úniky naznačují, že představení řady Google Pixel 11 se rychle blíží. Na Amazonu se totiž na krátkou dobu objevily připravované produktové stránky s obrázky základního modelu i několika technickými údaji. Přestože se kolem nich objevilo několik nejasností, většina informací odpovídá dřívějším únikům.

Apple chystá nové Apple Pencil kvůli pravidlům EU

Apple podle dostupných informací připravuje nové generace stylusů Apple Pencil, které by měly dorazit společně s příštím iPadem Pro. Hlavním důvodem změn nejsou nové funkce, ale evropská pravidla zaměřená na snadnější opravy elektroniky. Firma proto pracuje na nové konstrukci baterií, která má splnit chystané požadavky.

OpenAI ukončí prohlížeč Atlas a jeho funkce přesune do ChatGPT

OpenAI končí s vlastním AI prohlížečem Atlas, který spustil teprve loni na podzim. Firma ale od myšlenky chytrého prohlížení webu neustupuje. Naopak přesouvá jeho klíčové funkce do desktopové aplikace ChatGPT a nového rozšíření pro Google Chrome.

Oživení konzole 3DO skončilo kvůli sporům o práva

Plány na návrat legendární konzole 3DO skončily jen několik dní po svém oznámení. Vydavatel Empire Interactive narazil na komplikované vlastnické vztahy a rozhodl se celý projekt ukončit ještě před jeho skutečným rozjezdem.

Sony ukončí výrobu her na fyzických discích v roce 2028

Sony definitivně potvrdilo přechod k digitální distribuci her. Od ledna 2028 přestane vyrábět fyzické disky pro všechny nové tituly PlayStation. Starší hry na discích zůstanou v prodeji, ale budoucnost značky už bude stát především na stahování z internetu.

Gmail Live míří do testování na Androidu i iPhonu

Google začal testovat novou funkci Gmail Live, která umožní hledat e maily pomocí hlasu a běžné konverzace s umělou inteligencí Gemini. Novinka se nejprve objeví u vybraných uživatelů a později zamíří k předplatitelům Google AI Pro a Ultra.

OnePlus v Evropě začíná odkazovat zákazníky na produkty Oppo

OnePlus udělal v několika evropských zemích další krok, který naznačuje změnu jeho role na trhu. Na oficiálních webech značky se objevily bannery, které zákazníky posílají přímo do e shopu Oppo a doporučují jim jeho telefony, tablety i příslušenství. Podle dostupných informací jde zatím o změnu v Německu, Francii a Španělsku, kde obě značky působí vedle sebe.

Tidal přestane vyplácet odměny za plně AI vytvořenou hudbu

Hudební streamovací služba Tidal mění pravidla pro obsah vytvořený umělou inteligencí. Skladby, které vznikly stoprocentně pomocí AI, na platformě zůstanou, jejich autoři ale už za ně nedostanou tantiémy. Nová pravidla mají podpořit lidskou tvorbu a omezit zneužívání generativní umělé inteligence.

Apple vydal macOS Tahoe 26.5.2

Apple uvolnil novou aktualizaci macOS Tahoe 26.5.2 pro všechny podporované počítače Mac. Nová verze nepřináší viditelné novinky, ale zaměřuje se na opravy zabezpečení. Firma proto doporučuje instalaci všem uživatelům.

WhatsApp zavádí uživatelská jména a skryje telefonní čísla

WhatsApp přidává dlouho očekávanou novinku. Uživatelé si už nyní mohou rezervovat vlastní uživatelské jméno, které později nahradí telefonní číslo při navazování nových kontaktů. Samotná funkce dorazí během následujících měsíců.

Instagram testuje další možnosti přizpůsobení algoritmu

Instagram pokračuje ve vývoji funkce Your Algorithm a testuje nové způsoby, jak lidem usnadnit ovlivňování doporučeného obsahu. Místo hledání nastavení by se přizpůsobení algoritmu mohlo stát běžnou součástí používání aplikace.
Reklama
Reklama
Reklama
Reklama