谷歌披露Windows零日被利用

谷歌的安全研究人员今天披露了Windows操作系统中的一个“零日”漏洞，该漏洞目前正在被积极利用。

据“零日计划”团队负责人本·霍克斯（Ben Hawkes）称，预计“零日”将于11月10日修补，也就是微软下一次补丁发布的日期，在Twitter上，霍克斯说Windows的零日（被追踪为CVE-2020-17087）被用作两拳攻击的一部分，再加上另一个Chrome zero day（追踪记录为CVE-2020-15999），他的团队上周披露的

Chrome zero day被用来允许攻击者在Chrome中运行恶意代码，Windows zero日是这次攻击的第二部分，它允许威胁参与者逃离Chrome的安全容器，并在底层操作系统上运行代码，安全专家称之为沙盒逃脱。

谷歌项目零号团队上周通知了微软，并给了微软7天时间来修补漏洞。今天公布了详细信息，因为Microsoft没有在指定的时间内发布修补程序。

根据谷歌的报告，zero day是Windows内核中的一个漏洞，可利用该漏洞提升攻击者的代码，并授予额外的权限。

，该漏洞会影响到Windows 7和最新的Windows 10版本之间的所有Windows版本。

还包括重现攻击的概念验证代码。

霍克斯没有提供有关谁在使用这两个零日的详细信息。通常，大多数“零日”都是由国家资助的黑客组织或大型网络犯罪集团发现的。

根据同一份谷歌报告，这些攻击也得到了第二个谷歌安全团队，即谷歌威胁分析小组（TAG）的证实。

谷歌标签主管肖恩·亨特利，称攻击与美国大选无关。

Chrome zero day是在Chrome版本86.0.4240.111

这是谷歌第二次公开了一个双管齐下的攻击，涉及一个Windows和一个Chrome zero day。2019年3月，谷歌表示，威胁参与者还将Chrome zero day（CVE-2019-5786）与Windows zero day（CVE-2019-0808）相结合。

黑客从加密货币服务窃取2400万美元'Harvest Finance'

100多个灌溉系统在没有密码的情况下通过注册而暴露在网上，您同意
2023-03-22 10:04:22

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示