Google的projectzero发布了win7内核中缓冲区溢出漏洞的概念证明代码,该漏洞可用于本地权限提升,在操作系统上运行恶意软件。如果加上近期修补的Chrome漏洞,这将允许网络恶意软件逃离Chrome沙盒,完全控制pC。
谷歌说这个缺陷(CVE-2020-17087)微软只给了微软7天的时间来修补它,这一期限毫无疑问已经过去了,没有修补程序。
据projectZero的技术负责人BenHawkes称,微软计划在11月10日发布一个补丁。
尽管这一漏洞被肆无忌惮地利用,但谷歌和微软都表示,这些攻击是“有针对性的”,但与美国大选无关。
微软的一位发言人说,所报告的攻击是非常有限的,而且是有针对性的,你们还没有看到任何证据表明这种攻击被普及使用
当然,现在概念验证代码已经发布了,这很或许不再是这样了。
该漏洞被认为会影响到win 10之前的win版本,以及win 7的所有全能修补版本。
微软在一份声明中说:
Microsoft承诺调查报告的安全问题并升级受影响的设备以保护客户。虽然你们致力于满足所有研究人员的披露截止日期,包括本场景中的短期截止日期,但开发安全升级是在及时性和质量之间的平衡,你们的最终目标是协助确保最大限度地保护客户,同时尽量减少客户中断