与微软死磕的安全研究人员再次公布Windows 10未修复的零日漏洞

此前蓝点网多次提到社交平台推特上有个安全研究人员经常发现漏洞后不是上报给微软而选择直接公开漏洞

这名安全研究人员此前与微软的合作似乎存在诸多不愉快,微软和推特也多次将其推特和 GitHub 账号封禁。

但是这些措施并不能阻止这名研究人员继续发布漏洞,毕竟封号只能阻止传播渠道而不能把所有漏洞都解决。

新的本地提权漏洞被公开:

这位研究人员主要从事沙盒逃逸和本地特权提升方面的研究,这次发现的漏洞也同样属于本地特权提升问题。

该漏洞影响Windows 10所有版本并且包括Windows Server 2016系列, 所幸新漏洞本身不能直接攻击系统。

不过如果攻击者提前渗透到目标设备后可以再利用此漏洞提权获得更高的权限,例如目标计算机管理员权限。

利用方式上攻击者可以借助错误格式的.JOB文件再利用Windows 10任务计划程序中的程序错误来提升权限。

目前此漏洞的相关细节和漏洞演示等都已经公开,而 CERT 协调中心的漏洞分析师也证实此漏洞确实有效的。

与微软死磕的安全研究人员再次公布Windows 10未修复的零日漏洞

理论上也通杀Windows XP这类旧版本:

从当前公开的代码和利用方式来看该漏洞主要影响Windows 10,但是这枚漏洞似乎也存在那些更旧的版本。

有研究人员分析后认为只需将漏洞利用代码稍加改造,即可在Windows XP~Windows 10 所有版本上使用。

所以公开这枚漏洞的细节而不等待微软修复带来的后果也很可怕,估计很快就会有攻击者开始利用这枚漏洞。

当然如果快的话微软将在6月11日的例行更新日上发布累积更新修复此漏洞,不过微软尚未就此事发布评论。

争议不断的公开漏洞行为:

到现在为止这名研究人员至少已经公开五枚Windows 10零日漏洞,她与微软的关系现在也变得越来越糟糕。

在蓝点网的所有报道中我们都称之为安全研究人员而不是黑客,因为她的出发点并不是利用漏洞并展开攻击。

但是一次又一次的公开漏洞势必让用户陷入潜在的威胁之中,她之前公开的部分漏洞在微软修复前就被利用。

现在在国外科技媒体的报道中越来越多的媒体称之为黑客,并谴责这种直接公开漏洞的非常不负责任的行为。

当然蓝点网本身也反对这种直接公开漏洞的做法,不过没办法现在我们也只能期待她和微软的关系能够缓和。

本文由来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

6 条评论,访客:6 条,站长:0 条
  1. cjk
    cjk发布于: 
    Google Chrome 74.0.3729.157 Google Chrome 74.0.3729.157 GNU/Linux x64 GNU/Linux x64

    黑客?这么有神秘感的名字还是算了。
    这是危害公共安全的罪犯,还是那种极度危险的、充满“正义感”的类型。
    看不惯微软漏洞修复慢,就公开漏洞还提供攻击工具?!“惩罚”微软很爽是吗?那使用Windows的个人和企业呢?他们因漏洞被公开受到的损失谁来负责?
    躲在匿名的github与twitter后偷笑的懦夫。

  2. chi2019
    chi2019发布于: 
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 10 64位版 Windows 10 64位版

    别人(某些黑客)不做声,不代表别人没有发现漏洞,不排除早已有黑客发现并利用这些漏洞悄么声的展开不法行为但是不声张。所以微软针对此人的做法太幼稚而且极其不要B脸

    • joker2018
      joker2018发布于: 
      Safari 12.1.1 Safari 12.1.1 iPad iOS 12.3 iPad iOS 12.3

      没看出来哪不要脸了 这样公布了微软没修复的之前都有被不法分子利用的可能性 别人没公开发布漏洞没人可以知道这个漏洞 不法分子”如果不知道这个漏洞”也不能利用这个漏洞进行攻击 你以为找漏洞这么简单吗 正确做法是提交给微软修复了在公布

  3. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.2000 Maxthon 5.2.7.2000 Windows 10 64位版 Windows 10 64位版

    为这些人点个赞!了不起!

  4. 光头哥
    光头哥发布于: 
    Google Chrome 74.0.3729.169 Google Chrome 74.0.3729.169 Windows 10 64位版 Windows 10 64位版

    在微软的git平台公开摆明态度,骚。

发表评论