您的位置:首页 >房产频道 > 科技 >

Windows 0天连续发布会降低2个不固定缺陷的利用率

导读 更新:周三发布的两个漏洞之一已被确认利用了微软在本月周二的更新发布周期中修复的Windows漏洞。推特表示,与Windows错误报告服务相关的缺

更新:周三发布的两个漏洞之一已被确认利用了微软在本月周二的更新发布周期中修复的Windows漏洞。推特表示,与Windows错误报告服务相关的缺陷此前被描述为CVE-2019-0863,而研究人员GalDeLeon介绍,微软认为该漏洞已被发现。拥有“微锁”服务补丁0的研究人员证实,周三发布的另一个漏洞IE11沙盒旁路确实可以在完全打补丁的Windows S10系统上运行。

这篇文章的标题已被更改,以反映这一新信息。以下是之前的故事,除了最后一段,也进行了修改,以反映新的信息。

微软zeroday漏洞的连续发布者已经放弃为其他三个未修补的缺陷开发代码,这标志着这位未知人士在过去一年中第七次这样做。

漏洞的技术细节,以及概念漏洞的工作证明,都是使用沙盒逃脱者这个昵称的人的工作。周二披露的Windows任务计划程序中的本地权限提升漏洞允许经过身份验证的攻击者获得受影响系统的系统权限。周四,此人发布了一个特权升级代码,该代码利用了Windows错误报告服务中的一个错误。攻击者可以使用它来修改通常不受限制的文件。第三个漏洞也在周三发布。借助InternetExplorer11,攻击者可以以比浏览器沙箱通常允许的更高的系统访问速率执行Java脚本。

就像过去一年发布的另一个漏洞沙盒逃逸器一样,——包括去年8月报告的Ars和去年10月报告的——的最后三个漏洞,这些漏洞不允许攻击者远程执行恶意代码。但是,随着最新版本的Windows等操作系统的安全防御体系的完善,这些类型的漏洞的价值也增加了,因为它们通常是绕过安全沙箱和类似保护的唯一途径。尽管沙盒逃脱者已经透明地指出了该漏洞的一些限制,但如果这些披露是针对完全修补的Windows S10版本,这一点很重要。

免责声明:本文由用户上传,如有侵权请联系删除!