研究员未通报微软就公开 Windows 10 漏洞,「现阶段

2020-07-27

研究员未通报微软就公开 Windows 10 漏洞,「现阶段

日前有保安研究人员在一部完全安装 Windows 10 保安升级档的电脑上,成功利用「Zero-day」零时差攻击漏洞取得系统管理员级权限。这位人士在微软未发表修补更新的情况下,就在 Twitter 公布了这个漏洞,更在 GitHub 公布了攻击程式,恐怕有机会被骇客利用。

研究人员 Twitter 揭 Windows 10 漏洞

一位名为「SandboxEscaper」的保安研究人员日前在其 Twitter 帐户上发出帖文,指在 Windows 的工作排程器的 Advanced Local Procedure Call(ALPC)界面中,发现本机用户能获得系统管理员权限的漏洞。

漏洞目前无解法,微软:9 月 11 更新将解决

美国电脑网路危机处理中心(CERT / CC)已确认了漏洞在 64 位元的 Windows 10 和 Windows Server 2016 的系统中存在。美国电脑网路危机处理中心分析师 Will Dorman 在 Twitter 发文指,在已安装最新修正档的 64 位元 Windows 10 系统内也发现相关漏洞。

他指在微软发布修补更新前,没有阻止攻击者利用漏洞的方法。

Microsoft 在回应《Tom’s hardware》的查询时指,在 9 月 11 日(星期二)的更新中会提供解决方案。

研究员未通报微软就公开 Windows 10 漏洞,「现阶段

外媒《Tom’s hardware》的编辑指,SandboxEscaper 应该曾向 Microsoft 汇报,但有不太好的经历,才会选择在 Twitter 公开。该编辑又指,如果黑市提出的价钱比程式生产商高很多,有些人会宁愿把漏洞出售。

─ ─

更多你该知道的资安讯息

以色列资安大厂 Check Point:面对「巨型网路攻击」,台湾企业应积极布署对应防护
资安团队公布暗黑骇客手法,病毒藏 USB 传输线一插电脑就中毒
资安 SOP 没执行到位!台积电受变种 WannaCry 病毒入侵,2 天损失 52 亿台币
GDPR 成骇客勒索「神助攻」帮手:钱交出来,不然我就公开公司个资害你受罚

上一篇:
下一篇:
扩展阅读