谷歌揭示Windows 10中未修补的Windows 0day漏洞的详细信息

方砖大叔 发表于2020-11-01 04:08
浏览次数:
在手机上阅读
此文章约为678字,阅读需要3 分钟

Google 安全团队 Project Zero 披露了一个正被利用的 Windows 0day 漏洞。

谷歌揭示Windows 10中未修补的Windows 0day漏洞的详细信息

因为该漏洞正被利用,Google 安全研究人员给了微软 7 天时间去修复,而微软可能需要等到 11 月例行安全更新时才可能修复漏洞。

编号为 CVE-2020-117087 的漏洞位于 Windows Kernel Cryptography Driver (cng.sys),是一个整数溢出漏洞,可用于提权,攻击者正组合该漏洞和另一个已修复的 Chrome FreeType 字体渲染库漏洞入侵存在漏洞的系统。微软发言人表示没有证据显示该漏洞正被广泛利用,该漏洞并不能影响加密功能。

用于Windows 10内核中的缓冲区溢出漏洞,可利用该漏洞进行本地特权提升,以在操作系统上运行恶意软件。与最近修补的Chrome漏洞结合使用时,这将使网络恶意软件逃脱Chrome沙箱并完全控制PC。


谷歌表示,该漏洞(CVE-2020-17087)正在被广泛利用,仅给微软7天的时间来修补它,这一截止日期毫无意外地过去了,没有补丁。

据零号项目的技术主管本·霍克斯说,微软计划在11月10日发布补丁。

尽管该漏洞被广泛利用,但谷歌和微软均表示,攻击是“针对性的”,尽管与美国大选无关。

微软发言人表示,所报道的攻击“本质上非常有限且针对性强,我们还没有证据表明存在广泛的使用情况。”

当然,现在已经发布了概念证明代码,现在可能不再如此了。

该漏洞被认为会影响从Windows 7一直追溯到Windows 7的所有版本,也影响到Windows 10的所有完全修补版本。

微软在一份声明中说:

“微软有客户承诺调查所报告的安全问题并更新受影响的设备以保护客户。在我们努力满足所有研究人员的披露截止日期(包括这种情况下的短期截止日期)的同时,开发安全更新是在及时性和质量之间取得平衡,我们的最终目标是帮助确保最大程度地保护客户,并最大程度地减少客户干扰。 ”
253 个用户觉得很有用

uc电脑园提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。

如此好文,分享给朋友

图片来源:网络

发表评论
验证码:
评论列表
共0条