Durante l'aggiornamento del mio Firefox, ho scoperto che non è stata richiesta alcuna autorizzazione. Frist, pensavo che qualcosa fosse andato storto. Ma scopro subito che hanno un servizio per avviare l'aggiornamento nella sessione 0.
Questo servizio potrebbe essere utilizzato da un altro programma per bypassare un po 'di sicurezza? Potrebbe diventare una porta di servizio?
Non dovrebbe essere possibile utilizzare il servizio per bypassare alcuni livelli di sicurezza, ad es. elevare i privilegi. Tutto il resto è trattato come un bug. Sfortunatamente ci sono stati un sacco di bug in passato (ad esempio CVE-2017-7760, CVE-2016-5253, CVE-2015-4505) che consentono a un utente malintenzionato locale di elevare i privilegi tramite il servizio di manutenzione di Mozilla.
Se sei preoccupato di questo, puoi disinstallare il servizio. In questo caso per ulteriori aggiornamenti viene utilizzato un fallback che utilizza un prompt di elevazione.