谷歌揭示了 Windows 10 中未修补的零日漏洞的详细信息

谷歌的零项目已经发布了针对 Windows 10 内核中缓冲区溢出漏洞的概念验证代码，该漏洞可被用于本地权限提升以在操作系统上运行恶意软件。 当与 Chrome 中最近修补的漏洞结合使用时，这将允许网络恶意软件逃离 Chrome 沙箱并完全控制 PC。

谷歌表示该缺陷（CVE-2020-17087) 被广泛利用，只给了微软 7 天的时间来修补它，不出所料，这个最后期限在没有补丁的情况下已经过去了。

根据 Project Zero 的技术负责人 Ben Hawkes 的说法，微软计划在 10 月 XNUMX 日发布补丁。

虽然该漏洞正在被广泛利用，但谷歌和微软都表示这些攻击是“有针对性的”，尽管与美国大选无关。

微软发言人表示，所报告的攻击“非常有限且具有针对性，我们没有看到任何证据表明广泛使用。”

当然，现在概念验证代码已经发布，这可能不再是这种情况了。

该漏洞被认为会影响可追溯到 Windows 7 的 Windows 版本，以及 Windows 10 的所有完全修补版本。

微软在一份声明中说：

“微软有一项客户承诺，即调查报告的安全问题并更新受影响的设备以保护客户。 虽然我们努力满足所有研究人员的披露期限，包括这种情况下的短期期限，但开发安全更新是及时性和质量之间的平衡，我们的最终目标是帮助确保最大限度地保护客户，同时最大限度地减少客户中断。 ”

通过 TechCrunch