V
не совсем, нужно описание xml тэгов.
Size: a a a
2021 August 26
VG
а чего сразу не сказал?
VS
отфильтровать по xml schema не?
V
schema нет, нужна структура xml. *.doc save to *.xml, вот знать как создаётся из doc файл xml.
ST
ST
сраный глюкодром. в диспетчере задач нет калькулятора.
dG
Ну вот и подтянулись: вслед за Razer Synapse права администратора Windows 10 могут быть получены в результате эксплуатации баги в SteelSeries при подключении фирменных устройств.
ПО SteelSeries предназначено для клавиатур Apex 7 / Pro, мышей Rival 650/600/710, гарнитур Arctis 9, Pro, систем управления RGB-подсветкой игрового коврика для мыши QCK Prism.
В основе баги аналогичный механизм повышения привилегий: эксплуатация ошибки реализуется в ходе настройки устройства в ходе отображения окна с лицензионным соглашением, которое открывается с правами SYSTEM, позволяя запустить командную строку в Windows 10 с правами администратора. Опыт предшественника перенял исследователь Лоуренс Амер, руководитель исследовательской группы 0xsp.
Пентестер Иштван Тот пошёл дальше и представил вектор атаки, при котором не требуется реальное устройство SteelSeries. Он опубликовал сценарий с открытым исходным кодом, который может имитировать устройства с интерфейсом пользователя (HID) на Android, специально для тестирования сценариев локального повышения привилегий (LPE). Сценарий может успешно эмулировать устройства Razer и SteelSeries, достигается также с помощью его инструмента USB Gadget Generator Tool.
SteelSeries, в свою очередь, были осведомлены об уязвимости, и прикрыли багу ограничив запуск установочного ПО при подключении устройств. Сейчас разработчики трудятся над исправлением.
ПО SteelSeries предназначено для клавиатур Apex 7 / Pro, мышей Rival 650/600/710, гарнитур Arctis 9, Pro, систем управления RGB-подсветкой игрового коврика для мыши QCK Prism.
В основе баги аналогичный механизм повышения привилегий: эксплуатация ошибки реализуется в ходе настройки устройства в ходе отображения окна с лицензионным соглашением, которое открывается с правами SYSTEM, позволяя запустить командную строку в Windows 10 с правами администратора. Опыт предшественника перенял исследователь Лоуренс Амер, руководитель исследовательской группы 0xsp.
Пентестер Иштван Тот пошёл дальше и представил вектор атаки, при котором не требуется реальное устройство SteelSeries. Он опубликовал сценарий с открытым исходным кодом, который может имитировать устройства с интерфейсом пользователя (HID) на Android, специально для тестирования сценариев локального повышения привилегий (LPE). Сценарий может успешно эмулировать устройства Razer и SteelSeries, достигается также с помощью его инструмента USB Gadget Generator Tool.
SteelSeries, в свою очередь, были осведомлены об уязвимости, и прикрыли багу ограничив запуск установочного ПО при подключении устройств. Сейчас разработчики трудятся над исправлением.
AB
Вот кстати и другие посыпались.
Скоро и логитек присоединится. У них служба ставится.
Скоро и логитек присоединится. У них служба ставится.
AB
Ой, дарт, не видел что ты уже написал)
VG
похоже на "ой, а это тоже уязвимостями считается? их есть у нас!" :D
AB
Ну там много у кого такое будет)
VG
угу. И всем по рукам кривым надвать. Правильно.
VS
так может им великий ленин так завещал делать?
VG
нет, он завещал так не делать
VS
ты наверное все доки перечитал
VG
нет. Но если в доках написано что делать - автора таких доков тем более в говно надо.
VG
Но там где я встречал таки писалось что не надо такого
VS
могло быть не написано так не делать, этого достаточно