谷歌揭示了 Windows 10 中未修补的零日漏洞的详细信息
2分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
谷歌的零项目已经发布了针对 Windows 10 内核中缓冲区溢出漏洞的概念验证代码,该漏洞可被用于本地权限提升以在操作系统上运行恶意软件。 当与 Chrome 中最近修补的漏洞结合使用时,这将允许网络恶意软件逃离 Chrome 沙箱并完全控制 PC。
谷歌表示该缺陷(CVE-2020-17087) 被广泛利用,只给了微软 7 天的时间来修补它,不出所料,这个最后期限在没有补丁的情况下已经过去了。
根据 Project Zero 的技术负责人 Ben Hawkes 的说法,微软计划在 10 月 XNUMX 日发布补丁。
虽然该漏洞正在被广泛利用,但谷歌和微软都表示这些攻击是“有针对性的”,尽管与美国大选无关。
微软发言人表示,所报告的攻击“非常有限且具有针对性,我们没有看到任何证据表明广泛使用。”
当然,现在概念验证代码已经发布,这可能不再是这种情况了。
该漏洞被认为会影响可追溯到 Windows 7 的 Windows 版本,以及 Windows 10 的所有完全修补版本。
微软在一份声明中说:
“微软有一项客户承诺,即调查报告的安全问题并更新受影响的设备以保护客户。 虽然我们努力满足所有研究人员的披露期限,包括这种情况下的短期期限,但开发安全更新是及时性和质量之间的平衡,我们的最终目标是帮助确保最大限度地保护客户,同时最大限度地减少客户中断。 ”
通过 TechCrunch