与微软死磕的黑客再次公布Windows 10三枚未修复的零日漏洞细节

早些时候经常公布Windows 10零日漏洞的黑客Sandbox Escaper直接公开任务计划程序中的某个安全漏洞

不过与微软关系非常僵的这位黑客还表示将会发布更多漏洞,比如现在又有三枚未经修复的零日漏洞被公布。

这些零日漏洞多数依然是Windows 10本地权限提升错误,不过这次还有个针对IE11浏览器的沙箱逃逸漏洞。

与微软死磕的黑客再次公布Windows 10三枚未修复的零日漏洞细节

不止死磕微软甚至还与FBI杠上:

鉴于这名黑客此前多次未经微软同意公布零日漏洞细节,目前有传闻美国联邦调查局已经开始着手调查此事。

传美国联邦调查局已经联系谷歌要求谷歌提供她的账号信息,至于要账号信息拿来干什么估计大家也能猜到。

不过尚不清楚是微软联系该调查局寻求帮助还是调查局主动介入的,但不论如何也不能阻止她继续公开漏洞。

在这次公布漏洞中她还表示在市场上向「讨厌美国的人」出售漏洞,显然是对美国联邦调查局介入作出回应。

漏洞方面的细节:

Sandbox Escaper公布的零日漏洞基本都已经被安全业界确认,部分漏洞的CVSS 3.0 严重性评分高达7.8分。

IE11的零日漏洞主要可以让攻击者将.DLL动态链接库注入到浏览器中,最终可以用来从IE的沙盒模式中逃逸。

权限提升则是 Windows AppX 部署服务中不正确地处理硬编码链接导致的,利用该漏洞可以提高本地权限。

最后还有Windows 10系统更新服务的安装程序绕过问题,利用这个问题可以与其他恶意软件触发回滚操作。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. jmacmillang
    jmacmillang发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

    国内没人在乎系列

  2. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.2000 Maxthon 5.2.7.2000 Windows 10 64位版 Windows 10 64位版

    “道高一尺,魔高一丈?”

发表评论