研究人員已經(jīng)發(fā)現(xiàn)了5月發(fā)現(xiàn)的Windows 10漏洞的新漏洞,該漏洞使黑客能夠在目標(biāo)計算機上提升其特權(quán)���。
該漏洞曝光后����,Microsoft發(fā)布了一個應(yīng)糾正此問題的補丁,但該更新似乎未能防范其他攻擊���。
根據(jù)Google Project Zero的研究人員Maddie Stone的說法�,只要對攻擊方法進行很小的調(diào)整���,仍然可以濫用Windows 10漏洞�。
斯通在推特上說: “最初的問題是任意指針取消引用�����,這使攻擊者能夠控制指向memcpy的src和dest指針����。”
她解釋說����,微軟補丁是無效的,因為它“只是將指針更改為偏移量���,這仍然允許控制memcpy的argos����。”
當(dāng)涉及部分修復(fù)時��,主要的擔(dān)心是�,黑客可以利用原始漏洞的知識來更輕松地開發(fā)新的零日漏洞。
Windows 10安全性錯誤
該漏洞由安全公司Kaspersky的研究人員首先發(fā)現(xiàn)��,該漏洞影響一系列Windows操作系統(tǒng)���,包括Windows 10��,Windows Server����,Windows 7和Windows 8的各種迭代�。
雖然整體漏洞由通用漏洞評分系統(tǒng)(CVSS)評為7.5 / 10�����,但特別是針對Windows 10設(shè)備�����,它被分類為最高嚴(yán)重性。
Windows錯誤與Internet Explorer 11中存在的第二個缺陷聯(lián)系在一起���,被黑客濫用��,以便在受影響的設(shè)備上運行惡意代碼����,從而使他們可以將特權(quán)提升到內(nèi)核級別���。
為了證明仍然可以利用該漏洞�,Stone根據(jù)卡巴斯基提供的原始公開內(nèi)容發(fā)布了概念驗證代碼��。
微軟在9月中旬收到有關(guān)替代攻擊的警報��,并已確認(rèn)該問題�����。該公司計劃在11月推出第二個補丁程序�,但進一步的復(fù)雜性意味著該修復(fù)程序已推遲到1月。
受影響的設(shè)備的所有者將需要等待補丁在新的一年內(nèi)發(fā)布���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
