谷歌已经透露了一个新的零日Windows漏洞的细节,据称目前该漏洞已被黑客利用。
该漏洞(目前未命名)已分类为CVE-2020-17087。谷歌的安全机构Project Zero进入其Chromium存储库发布该漏洞,并要求微软在一周内解决该问题。Microsoft并未这样做,因此该漏洞已发布,所有人都可以看到。
Windows 10和Windows 7均受此错误影响,该漏洞使潜在的攻击者不断升级他们在Windows中拥有的用户访问类型。可能是不良行为者正在利用此漏洞与Google在一周前披露并解决的Chrome中的错误同时使用。本周讨论的错误使潜在的攻击者可以退出Chrome并在Windows 10上执行恶意软件。
据零号项目的技术主管本·霍克斯说,微软已经计划在11月10日发布补丁。但是,当要求发表评论时,Microsoft不会向TechCrunch确认该日期。
该公司在一份声明中说:“微软有客户承诺调查所报告的安全问题并更新受影响的设备以保护客户。” “尽管我们努力满足所有研究人员的披露截止日期,包括这种情况下的短期截止日期,但开发安全更新是在及时性和质量之间取得平衡,我们的最终目标是帮助确保最大程度地保护客户并最大程度地减少客户干扰。”