时间:2019-07-10 12:44:42 来源:www.win10xitong.com 作者:win10
两天前名为SandboxEscaper的安全研究人员发布了一些讲到Windows 10系统的零日漏洞,一起承诺然后会公开更多Windows 10零日漏洞。昨天这名安全研究人员兑现承诺,又发布了四个零日漏洞,所幸的是此中的一个漏洞已经在本月的补丁星期二活动日中进列了恢复。
查看她的博客内容,她希望将她发现的漏洞出售给那些“讨厌美国的人”,显然是FBI无误她Chrome账号发出传票的报复操作。GitHub概念验证(proof-of-concepts)中包括了三个Windows本地权限增高(LPE)安全漏洞,跟一个在IE 11预览器中的沙盒逃脱漏洞。不过此中一个LPE漏洞已经在本月补丁星期二活动中恢复。
在3款尚未恢复的零日漏洞中最为严重的是编号为CVE-2019-0863漏洞,是讲到Windows Error Reporting服务的LPE漏洞,在CVSS 3.0严重性评分中为7.8分(高)。
一名为SandboxEscaper的安全研究人员发布了一个讲到Windows 10的零日漏洞,SandboxEscaper之前已经发现过相像的漏洞,可能是因为糟糕的与微软安全团队的沟通经历,这次他们毫不客气地讲述“迫不及待地希望销售他们[微软]软件中的漏洞。”截至撰稿时,@SandboxEscaper的Twitter帐户已被暂停,但博客文章仍旧存在。
新漏洞被归类为本地特权升级(LPE)漏洞,能够使用于通过在任务计划程序中行使漏洞来为黑客增高在计算机上运列有害代码的权限。幸运的是,黑客不能单独行使这一项漏洞在立刻侵入计算机,但可能会与这些类型的漏洞结合使用。
除了漏洞的源代码外,SandboxEscaper还发布了一个视频展示了这个零日漏洞被攻击的情况。它已经过测试一起确认可以在Windows 10 32位系统上运列,但我们相信,经过一些修改,便可以看到它可以在所有版本的Windows上运列,一直“和下兼容”到Windows XP和Windows Server 2003。
据微软一起没有预第一步警告这个漏洞,所以公司现在必须争分夺立刻才能解决这个问题。下一个补丁星期二定于6月中旬,与这一项同时,攻击者可以行使这段空窗期攻击世界各地的系统。