谷歌披露了另一个主要的Windows 10错误

在披露了Microsoft未能解决的Edge浏览器漏洞之后,Google现在又 披露了另一个错误,这次针对Windows 10 Fall Creators更新(版本1709),但也可能影响其他Windows版本。 James Forshaw是谷歌项目Zer


在披露了Microsoft未能解决的Edge浏览器漏洞之后,Google现在又披露了另一个错误,这次针对Windows 10 Fall Creators更新(版本1709),但也可能影响其他Windows版本。


James Forshaw是谷歌项目Zero项目的一名安全研究员,他说,由于操作系统处理调用高级本地过程调用(ALPC)的方式,提权特权漏洞可能会被利用。

这意味着标准用户可以在Windows 10计算机上获得管理员权限,所以在发生攻击时,攻击方能够对受影响系统进行完全控制。

但Neowin指出,这是在同一功能中发现的第二个错误,它们都被标记为1427和1428,并于2017年11月10日向微软报告。微软表示,他们将在2018年2月发布的更新版本中修正这一问题,但事实证明,只有1427号问题得到解决。


不能被远程利用


尽管漏洞仍然未被修补,需要注意的是微软并不认为这是一个很重要的关键缺陷。根据研究人员的说法,这是因为利用漏洞需要额外的步骤,并且不能远程进行,除非攻击者利用另一个缺陷获得对目标系统的访问。

“为了执行漏洞利用,你必须已经在正常的用户权限级别上运行系统上的代码。它不能被远程攻击,也无法从沙盒(如Edge和Chrome使用的沙箱)中使用。这个问题的标记为高严重性,反映了对于这类问题的易用性,它很容易被利用,但是它并没有考虑利用这个问题的先决条件。”Forshaw说。

下一次Windows安全更新将于3月13日作为即将到来的补丁周二的一部分发布,但由于此漏洞已公开,微软可能会尽快发布针对受影响的Windows版本的带外修补程序。



上一篇:真三国无双8轻松体验手柄教程   |  下一篇:最新推出的iPhone X廉价版