谷歌的 project zero 团队近日披露了存在于 windows 系统中的零日漏洞,会影响从 windows 7 至 windows 10 version 1903 系统版本。在博文中,谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击,可提升权限以执行远程代码。有趣的是,这个标记为 cve-2020-17087 的漏洞和上周披露的另一个 chrome 零日漏洞(cve-2020-15999)配合使用,能够从沙盒中逃逸。外媒 zdnet 的 catalin cimpanu 解释说,恶意行为者可以通过这两个漏洞逃避浏览器的安全环境,在受感染的目标设备上执行任意代码。
披露的博文中,微软将会在今年 11 月的补丁星期二活动日(10日)中修复该漏洞。不过由于 windows7 系统的主流支持已经停止,因此仅面向那些订阅了扩展安全更新(esu)的用户。自从该漏洞被积极利用以来,这家搜索巨头的团队为微软提供了 7 天的时间来修补该漏洞,然后才在今天公开予以披露。
在最新的 chrome 86.0.4240.1111 版本更新中,谷歌已经修复了漏洞。至于windows错误,该漏洞位于windows内核密码驱动程序(cng.sys)中,谷歌 project zero 团队对其进行了详细说明。该公司还附加了概念验证代码,以显示该漏洞如何使系统崩溃。
此外,google 威胁分析小组的负责人谢恩·亨特利(shane huntly)已确认该漏洞和即将到来的美国总统大选没有任何关系。
来源:https://baijiahao.baidu.com/s?id=1682031627696857356&wfr=spider&for=pc
试用申请
产品咨询:4000 258 365 