谷歌的 Project Zero 團(tuán)隊(duì)近日披露了存在于 Windows 系統(tǒng)中的零日漏洞，會(huì)影響從 Windows 7 至 Windows 10 Version 1903 系統(tǒng)版本。在博文中，谷歌表示已經(jīng)有證據(jù)表明有攻擊者利用該漏洞發(fā)起了攻擊，可提升權(quán)限以執(zhí)行遠(yuǎn)程代碼。

?

有趣的是，這個(gè)標(biāo)記為 CVE-2020-17087 的漏洞和上周披露的另一個(gè) Chrome 零日漏洞（CVE-2020-15999）配合使用，能夠從沙盒中逃逸。外媒 ZDNet 的 Catalin Cimpanu 解釋說(shuō)，惡意行為者可以通過(guò)這兩個(gè)漏洞逃避瀏覽器的安全環(huán)境，在受感染的目標(biāo)設(shè)備上執(zhí)行任意代碼。

披露的博文中，微軟將會(huì)在今年 11 月的補(bǔ)丁星期二活動(dòng)日（10日）中修復(fù)該漏洞。不過(guò)由于?Windows?7 系統(tǒng)的主流支持已經(jīng)停止，因此僅面向那些訂閱了擴(kuò)展安全更新（ESU）的用戶。自從該漏洞被積極利用以來(lái)，這家搜索巨頭的團(tuán)隊(duì)為微軟提供了 7 天的時(shí)間來(lái)修補(bǔ)該漏洞，然后才在今天公開(kāi)予以披露。

在最新的 Chrome 86.0.4240.1111 版本更新中，谷歌已經(jīng)修復(fù)了漏洞。至于Windows錯(cuò)誤，該漏洞位于Windows內(nèi)核密碼驅(qū)動(dòng)程序（cng.sys）中，谷歌 Project Zero 團(tuán)隊(duì)對(duì)其進(jìn)行了詳細(xì)說(shuō)明。該公司還附加了概念驗(yàn)證代碼，以顯示該漏洞如何使系統(tǒng)崩潰。

此外，Google 威脅分析小組的負(fù)責(zé)人謝恩·亨特利（Shane Huntly）已確認(rèn)該漏洞和即將到來(lái)的美國(guó)總統(tǒng)大選沒(méi)有任何關(guān)系。

?

（消息來(lái)源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/