谷歌揭示了另一个“高严重性”未修补的 Windows 10 问题

就安全性而言，这对微软来说并不是一个好星期，谷歌的零项目继续对微软的操作系统和浏览器进行攻击，而该公司无法跟上补丁的步伐。

与早期的 Edge 问题不同，谷歌的打击小组在 3 月发现的新漏洞影响的是操作系统而不是浏览器，尽管给予了 14 个月和 XNUMX 天的延期，但微软之前未能推出修复程序谷歌向公众和潜在的黑客披露了这个漏洞。

谷歌将权限提升漏洞评为“高严重性”。 它允许用户将任意安全描述符分配给导致特权提升的任意文件，这通常被网络攻击者用来获得管理员特权，以便在目标网络或系统中不受限制地移动。

SvcMoveFileInheritSecurity 函数调用中的漏洞将允许黑客修改系统文件，尽管这些文件被标记为只读，并可能允许网络上的其他用户修改文件。

Google 发布了概念证明，他们在 Windows 文件夹中创建了一个文本文件，并使用 SvcMoveFileInheritSecurity RPC 覆盖安全描述符以允许所有人访问。

虽然谷歌将其评为高严重性，但微软仅称其为“重要”，并指出它不能被远程利用，也不能从 Edge 和 Chrome 等沙盒内部被利用。 然而，黑客经常将许多漏洞链接在一起，即使是有限的漏洞也很危险。

Windows 用户可能必须等到下个月的下一个补丁星期二才能修复。 到目前为止，还没有关于该漏洞在野外被利用的报道。

阅读有关该漏洞的更多信息 在Google这里.

通过 ComputerWeekly