微软修补了之前谷歌发现并披露的 Windows 零日漏洞
上个月,谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞(CVE-2020-117087)在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 “补丁星期二”的一部分,微软目前已经发布了该漏洞的修复程序。
被称为 “Windows Kernel Local Elevation of Privilege Vulnerability “的CVE-2020-17087早在10月22日就被微软曝光。通常情况下,Project Zero会在公开漏洞细节之前提供90天的宽限期,但由于该漏洞处于已经被利用的状态,因此将这一宽限期缩减至仅7天。
Project Zero团队解释道:Windows内核加密驱动(cng.sys)向用户模式程序暴露了一个\Device\CNG设备,并支持各种非常规输入结构的IOCTL。它构成了一个本地可访问的攻击面,可以利用它进行权限升级(甚至可被用于沙箱逃逸)。
在MSRC门户网站上,微软感谢Google Project Zero的Mateusz Jurczyk和Sergei Glazunov所做的工作,使开发团队迅速注意到了这个漏洞。
不同版本的Windows和Windows Server的修补程序链接可以在以下页面中找到:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-17087
(消息来源:cnBeta;封面来自网络)
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 跟着总书记写好中国绿色新答卷 4956358
- 2 美对华发起301调查 商务部回应 4934909
- 3 张核子首度回应张珊珊身份 4865644
- 4 “美丽经济”助推乡村蝶变 4712928
- 5 35人花600多万全款买商铺烂尾7年 4697166
- 6 以色列誓言报复伊朗 普京公开表态 4547508
- 7 小店销售假舒肤佳被诉 法院:不用赔 4464921
- 8 男子打死火烈鸟获刑五年 4393987
- 9 小浪底景区未开展9.9元门票活动 4210419
- 10 婴儿独自爬出客厅猫咪警觉守护 4101379