谷歌的零项目团队已经发布了Windows中一个关键漏洞的详细信息。安全研究人员说,黑客正在积极利用此漏洞。据报道,微软将在11月10日之前发布补丁来修复此漏洞。
有什么漏洞?
该漏洞的名称为CVE-2020-117087,允许黑客升级系统特权。黑客还利用另一个Chrome零时差(CVE-2020-15999)进行了攻击。
“ Windows内核密码驱动程序(cng.sys)将\ Device \ CNG设备公开给用户模式程序,并支持具有非平凡输入结构的各种IOCTL。它构成了可以为特权升级(如沙箱逃跑)被利用本地访问的攻击面,”谷歌在说后。
谁受到影响?
Google的零项目团队证实,漏洞CVE-2020-17087影响Windows 7和Windows 10用户。
Google为什么要公开?
Google的“零项目”小组会定期披露漏洞。该团队还通知受影响的公司修复安全漏洞。
在这种情况下,Google给了微软7天的截止日期,以解决由于安全漏洞而被广泛使用的问题。
传统上,安全团队至少要有90天的期限来修复该缺陷。修补程序可用或截止日期到期后(以先发生者为准),它将发布漏洞。
微软在做什么?
根据零号项目的技术负责人本·霍克斯(Ben Hawkes)的说法,微软计划在11月10日之前修复该安全漏洞。他还澄清说,这是针对性的利用,与任何与美国大选有关的目标均不相关。
但是,Techcrunch报告Microsoft尚未确认日期。
“微软有客户承诺调查所报告的安全问题并更新受影响的设备以保护客户。尽管我们努力满足所有研究人员的披露期限,包括这种情况下的短期期限,但开发安全更新是在及时性和质量之间取得平衡,我们的最终目标是帮助确保最大程度地保护客户,并最大程度地减少客户干扰,该公司在一份声明中说。
_00.png)
