谷歌的 Project Zero 團隊近日披露了存在於 Windows 系統中的零日漏洞,會影響從 Windows 7 至 Windows 10 Version 1903 系統版本。在博文中,谷歌表示已經有證據表明有攻擊者利用該漏洞發起了攻擊,可提升權限以執行遠程代碼。
有趣的是,這個標記為 CVE-2020-17087 的漏洞和上周披露的另一個 Chrome 零日漏洞(CVE-2020-15999)配合使用,能夠從沙盒中逃逸。外媒 ZDNet 的 Catalin Cimpanu 解釋說,惡意行為者可以通過這兩個漏洞逃避瀏覽器的安全環境,在受感染的目標設備上執行任意代碼。
披露的博文中,微軟將會在今年 11 月的補丁星期二活動日(10日)中修復該漏洞。不過由於 Windows 7 系統的主流支持已經停止,因此僅面向那些訂閱了擴展安全更新(ESU)的用戶。自從該漏洞被積極利用以來,這家搜索巨頭的團隊為微軟提供了 7 天的時間來修補該漏洞,然後才在今天公開予以披露。
在最新的 Chrome 86.0.4240.1111 版本更新中,谷歌已經修復了漏洞。至於Windows錯誤,該漏洞位於Windows內核密碼驅動程序(cng.sys)中,谷歌 Project Zero 團隊對其進行了詳細說明。該公司還附加了概念驗證代碼,以顯示該漏洞如何使系統崩潰。
此外,Google 威脅分析小組的負責人謝恩·亨特利(Shane Huntly)已確認該漏洞和即將到來的美國總統大選沒有任何關係。