Win10之家 资讯中心
Win10下载休闲娱乐坊
Win10资讯Win10资源
Win10交流主题壁纸
Win7下载Win8下载

Ghost Windows10 X64纯净专业       Ghost Windows10 X32纯净专业

Windows10零日漏洞暴露在Twitter上

2018-08-30 17:24:30来源:Win10作者:Win10之家责编:swin103去评论

 周一,Twitter用户SandboxEscaper通过愤怒的Twitter帖子发布了Windows10中零日漏洞的消息,同时还发布了与该漏洞相关的概念证明。

 
没有现有的解决方法
SandboxEscaper在Windows任务计划程序的高级本地过程调用(ALPC)界面中发现了一个本地权限提升漏洞,该漏洞可以允许本地用户获取SYSTEM权限。

Windows10零日漏洞暴露在Twitter上

CERT / CC已经确认该错误适用于64位版本的Windows10以及Windows Server 2016系统。该错误也可以在其他版本的Windows上被利用,并进行一些修改。 CERT / CC分析师Will Dorman通过Twitter表示,该漏洞“在完全修补的64位Windows10系统中运行良好。”他补充说,他不知道可以用来阻止攻击者利用的任何变通方法。这个漏洞直到微软发布补丁。
 
在对Tom's Hardware的一份声明中,微软暗示可能会在下一次更新时提供解决方案,即9月11日星期二:
 
“Windows有客户承诺调查报告的安全问题,并尽快主动更新受影响的设备。我们的标准政策是通过我们当前的更新星期二时间表提供解决方案。”
 
不满微软的Bug Bounty计划
根据Tweet中使用的SandboxEscaper语言,似乎他们在尝试向Microsoft提交此错误或以前的错误时遇到了不好的经历,导致研究人员采取Twitter公开披露它。
 
在过去的一个月里,研究人员似乎也试图将这个bug卖给其他人。有相同“SandboxEscaper”名字的人在Reddit上多次发帖询问如何销售Windows零日漏洞。他们还在Twitter上提到,他们“迫不及待地等待销售”微软软件中的漏洞。
 
SandboxEscaper的行为并不新鲜。并非所有发现大公司软件漏洞的人都会向公司报告。漏洞黑市倾向于为零日漏洞和攻击提供更好的价格。但是,如果研究人员可以在黑市上获得的价格差异不会太大,以及他们可以从软件提供商那里得到什么,那么许多人仍然倾向于采用更道德的方法向软件供应商披露这些漏洞。

相关文章

百度推荐

旗下网站: Win10之家|

旗下软件: Win10系统|

Win10 - 应用,游戏,下载 - Win10之家

Copyright (C) Swin10.com, All Rights Reserved.

Win10 版权所有 浙ICP备123456789号