谷歌披露了一个新的Windows零日漏洞,称其正受到积极攻击

2020-10-31 05:04:59

该漏洞没有名称,但被标记为CVE-2020-17087,至少会影响Windows7和Windows10。

谷歌的零项目(Project Zero)是发现这一漏洞的精英安全漏洞猎人组织,该组织表示,该漏洞允许攻击者升级他们在Windows中的用户访问级别。攻击者正在利用Windows漏洞和Chrome中的另一个漏洞,谷歌上周披露并修复了这个漏洞。这一新漏洞允许攻击者逃离Chrome的沙盒(通常与其他应用程序隔离),并在操作系统上运行恶意软件。

当TechCrunch联系到微软时,微软没有立即置评,但Project Zero的技术负责人Ben Hawkes在推文中表示,微软计划在11月10日发布补丁。

除了上周的Chrome/freetype 0day(CVE-2020-15999)之外,Project Zero还检测并报告了用于沙盒逃逸的Windows内核错误(CVE-2020-17087)。请点击此处查看CVE2020-17087的技术细节:https://t.co/bO451188Mk。

但目前还不清楚袭击者是谁,也不清楚他们的动机。谷歌威胁情报主管谢恩·亨特利(Shane Huntley)表示,这些攻击是“有针对性的”,与美国大选无关。

这是今年影响Windows的一系列主要漏洞中最新的一个。微软在1月份表示,美国国家安全局(National Security Agency)帮助发现了Windows 10中的一个密码漏洞,尽管没有证据表明有人利用了这一漏洞。但在6月和9月,国土安全部发布了关于两个“严重”Windows漏洞的警报-一个有能力在互联网上传播,另一个可能获得对整个Windows网络的完全访问权限。