软粉新闻|WP8资讯|windows热点

微软修补了之前谷歌发现并披露的Windows零日漏洞

2020-11-12 18:33:34    次阅读    稿源:酷七新闻    作者:wangloyal

 

被称为 "WindowsKernel Local Elevation of Privilege Vulnerability "的CVE-2020-17087早在10月22日就被微软曝光。通常情况下,Project Zero会在公开漏洞细节之前提供90天的宽限期,但由于该漏洞处于已经被利用的状态,因此将这一宽限期缩减至仅7天。

Project Zero团队解释道:Windows内核加密驱动(cng.sys)向用户模式程序暴露了一个\Device\CNG设备,并支持各种非常规输入结构的IOCTL。它构成了一个本地可访问的攻击面,可以利用它进行权限升级(甚至可被用于沙箱逃逸)。

在MSRC门户网站上,微软感谢Google Project Zero的Mateusz Jurczyk和Sergei Glazunov所做的工作,使开发团队迅速注意到了这个漏洞。

不同版本的Windows和Windows Server的修补程序链接可以在以下页面中找到:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-17087

  • 今日热点
  • 一周热点
  • BBS 热门主题