谷歌揭示了一个新的Windows 0day漏洞,据称受到主动攻击

《谷歌揭示了一个新的Windows 0day漏洞,据称受到主动攻击》

谷歌删除了Windows中以前未公开的漏洞的详细信息,据称黑客正在积极利用该漏洞。结果谷歌给了微软只有一周的时间来修复该漏洞。这个截止日期来了又去了,谷歌今天下午发布了该漏洞的详细信息。

该漏洞没有名称,但标记为CVE-2020-17087,并至少影响Windows 7和Windows 10。

谷歌的零号项目是发现安全漏洞的精英团队,他们说,该漏洞使攻击者能够提升其在Windows中的用户访问级别。攻击者正在将Windows漏洞与Chrome中的一个单独的漏洞结合使用,该漏洞已由Google上周披露并修复。此新错误使攻击者可以逃脱通常与其他应用隔离的Chrome沙盒,并在操作系统上运行恶意软件。

零项目的技术负责人本·霍克斯在推文中说,微软计划在11月10日发布补丁。

微软并未在询问时独立确认该日期,但在声明中表示:“微软有客户承诺调查报告的安全问题并更新受影响的设备以保护客户。在我们努力满足所有研究人员的披露截止日期(包括这种情况下的短期截止日期)的同时,开发安全更新是在及时性和质量之间取得平衡,我们的最终目标是帮助确保最大程度地保护客户,并最大程度地减少客户干扰。 ”

除了上周的Chrome / freetype 0day(CVE-2020-15999)外,Project Zero还检测并报告了用于沙箱转义的Windows内核错误(CVE-2020-17087)。CVE-2020-17087的技术细节现在可以在这里获取:https ://t.co/bO451188Mk

-Ben Hawkes(@benhawkes)2020年10月30日

但是尚不清楚攻击者是谁或他们的动机。谷歌威胁情报总监肖恩·亨特利(Shane Huntley)表示,袭击是“针对性的”,与美国大选无关。

微软发言人还补充说,所报道的攻击“性质上非常有限且针对性强,我们还没有证据表明存在广泛的使用情况。”

这是今年影响Windows的主要漏洞列表中的最新漏洞。微软在一月份表示,国家安全局(National Security Agency)帮助发现Windows 10中的加密错误,尽管没有证据表明存在被利用的漏洞。但是在6月和9月,国土安全部针对两个“关键” Windows错误发布了警报-一个可以在整个Internet上传播的功能,另一个可以完全访问整个Windows网络。

点赞

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注