Google Project Zero 揭示了 Windows 7 至 10 中的零日漏洞,谷歌表示,该漏洞已在实践中被积极利用。本地漏洞位于 Windows 内核密码驱动程序中,并且可能导致特权升级。
谷歌表示,它 “相信” 该漏洞至少从 Windows 7 开始就存在,但至少可以在具有最新 Windows 10 build 1903 64 位版本的计算机上运行。Google 对漏洞和利用进行了详细描述,包括概念证明程序的源代码。该漏洞的名称为 CVE-2020-17087。Google 没有提供证据表明该漏洞已被利用。
谷歌表示,它已给微软 7 天的时间来修复此漏洞。由于有迹象表明截止日期已经很短,微软目前尚未发布修复程序,微软预计将在 11 月 10 日进行修复,即微软的下一个补丁星期二。
微软发言人说,所报道的攻击 “本质上非常有限且有针对性,我们还没有证据表明存在广泛的使用情况。”
微软确实注意到该漏洞实际上并不是那么糟糕,因为它必须是一系列漏洞利用的一部分。这是一个本地漏洞,因此攻击者必须首先获得对 Windows 计算机的本地访问。