天创培训:您身边的信息安全培训专家!
开班计划
2020年6月CISP直播班
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   6月
课程介绍 在线报名
CISP-PTE渗透测试工程师6月周末直播班开班通知
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训+考试
上课时间   6月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

谷歌揭示影响Windows 10和Windows7活跃漏洞的细节

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2020-11-02  关键词:谷歌,微软,漏洞

谷歌揭示了影响Windows 10,7的活跃漏洞的细节

谷歌的零项目研究人员披露了Windows 0day的一个漏洞,该漏洞允许攻击者逃离Chrome沙箱,在Windows上运行恶意软件。

据报道,这是一个整数溢出漏洞,源于Windows内核密码驱动程序(cng.sys)支持的一个IOCTLs。该缺陷可能导致特权升级,并允许攻击者逃离沙箱。

Windows内核密码驱动程序(cn .sys)向用户模式程序公开一个\Device\CNG设备,并支持各种具有非平凡输入结构的ioctl。它构成了一个可用于特权升级的本地可访问攻击面,”Jurczyk解释说。

到目前为止,CVE-2020-17087漏洞仍未公开,现在谷歌声称该漏洞正被黑客积极利用。因此,谷歌给了微软一周的时间来修复漏洞,但截止日期已经过去,现在谷歌公布了细节。 

零日影响Windows 7和Windows 10。据研究人员称,攻击者将这个漏洞与Chrome的另一个漏洞结合在一起,这个漏洞上周已经被谷歌修复。该漏洞允许攻击者逃离Chrome的沙箱(与其他应用程序隔离),在操作系统上运行恶意软件。

该漏洞的详细信息于10月22日提交给了Project Zero讨论板,7天后,这些信息被公开。研究人员还发布了这个0day的概念验证开发的源代码。他们在“win10 1903(64位)的最新版本”上测试了PoC,但是他们注意到这个问题在Windows 7中也很普遍。

有针对性的攻击正在利用这一漏洞;然而,谷歌的威胁情报总监肖恩·亨特利声称,袭击与美国大选无关。

Zero项目的技术主管Ben Hawked在推特上提到了这个问题,并确认微软将在11月10日发布一个补丁。微软也发布了一份官方声明如下:

“微软向客户承诺,将调查报告中的安全问题,并更新受影响的设备,以保护客户。虽然我们努力满足所有研究人员的研究人员披露的截止日期,包括像这种情况下的短期截止日期,开发安全更新是及时和质量之间的平衡,我们的最终目标是帮助确保最大限度的客户保护,以最小的客户干扰。”

目前,袭击者及其动机尚不清楚。此外,据微软发言人说,这次攻击的性质是有限的,没有证据表明它的广泛使用。

 (来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000