Google, Windows의 패치되지 않은 0일 취약점 공개

Google이 Windows에서 패치되지 않은 0-day 취약점을 공개하는 것은 실제로 새로운 것이 아니며 작년부터 해왔습니다. 마이크로소프트도 비판 수백만 명의 Windows 사용자를 위험에 빠뜨리는 행동. 오늘 구글 출판 아직 패치되지 않은 Windows의 새로운 0일 취약점. Google은 21월 7일 금요일에 Microsoft에 이를 보고했으며 XNUMX일 정책에 따라 오늘 공개했습니다. 나는 그들의 생각 적극적으로 악용되는 치명적인 취약점에 대한 정책 소프트웨어 제조업체와 최종 사용자 모두에게 좋지 않습니다. 이 취약점이 특히 심각하고 적극적으로 악용되고 있음을 알면서도 이를 알리고 싶어합니다. 수백만 줄의 코드가 있고 7일 이내에 다양한 구성의 수억 대의 컴퓨터에서 실행되는 소프트웨어의 보안 버그를 소프트웨어 회사에서 어떻게 고칠 수 있는지 이해할 수 없습니다.

Windows 취약점은 보안 샌드박스 탈출로 사용될 수 있는 Windows 커널의 로컬 권한 상승입니다. GWL_STYLE이 WS_CHILD로 설정된 창 핸들의 GWLP_ID 인덱스에 대한 win32k.sys 시스템 호출 NtSetWindowLongPtr()을 통해 트리거될 수 있습니다. Chrome의 샌드박스는 다음을 사용하여 win32k.sys 시스템 호출을 차단합니다. Win32k 잠금 이 샌드박스 탈출 취약점의 악용을 방지하는 Windows 10의 완화.

Microsoft에서 곧 Windows Update를 통해 이 취약점에 대한 수정 사항을 발표할 예정입니다.