標題:Google緊急公開Windows零時差漏洞,但微軟還沒寫好修補程式
摘要:
Google威脅分析部門研究人員Neel Mehta 和 Billy Leonard指出,這個漏洞是存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr(),將視窗樣式參數GWL_STYLE的數值設為WS_CHILD(子視窗樣式)時,要取得子視窗ID時,就會一併觸發這個漏洞。簡單來說,就是惡意程式可以在設定應用程式視窗樣式時,暗中調高惡意程式的權限,繞過安全沙盒防護執行。
Google威脅分析部門研究人員Neel Mehta 和 Billy Leonard指出,這個漏洞是存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr(),將視窗樣式參數GWL_STYLE的數值設為WS_CHILD(子視窗樣式)時,要取得子視窗ID時,就會一併觸發這個漏洞。簡單來說,就是惡意程式可以在設定應用程式視窗樣式時,暗中調高惡意程式的權限,繞過安全沙盒防護執行。
Google在10月21日發現該漏洞並通報微軟,卻在僅10天之後即公佈,違反了安全業界通報修補的90天期限。微軟修補程式此時還在趕製中,Google就將此漏洞公告天下,此舉也引發微軟的不滿。
沒有留言:
張貼留言