微慑信息网

微软发布补丁并未完全修复 Windows 漏洞

Google Project Zero 信息安全团队,专门负责寻觅各种软件的安全漏洞,而 Windows 则成为了重点 “ 关照对象 ”。在经历了数次备受争议的漏洞公开事件之后,这支 Google 团队再次披露了 Windows 系统中能够访问内核存储的安全漏洞。该漏洞于今年 3 月份被 Project Zero 团队成员发现,该漏洞同时存在于包括 Google 在内的其他公司软件产品,微软已经于今年六月的补丁星期二活动中进行了修复。

510d36a84f2f51f

Project Zero 在发现漏洞之后会向软件商报告,并且在 90 天之后完全公布。尽管这次微软在限定时间内对该漏洞进行了修复,但是 Project Zero 团队表示微软并未完全在正确修复。对此,微软承认确实还存在问题。该漏洞允许任何人访问内核存储。在 Windows 系统中 nt!NtNotifyChangeDirectoryFile 子系统中,被报告由于输出机构隐患导致攻击者可以在用户模式下查看和访问未初始化的内存池。

Google 表示这个漏洞能够允许已经获得本地权限的攻击者可以绕过某些漏洞保护措施(Kernel ASLR),并读取内核地址空间的其他分区内容。Google 表示已经提醒微软,Windows 7 到 10 用户依然能够存在这个漏洞。微软有望在下个月的补丁星期二活动中进行修复。截至目前,该漏洞的安全等级已经被标记为 “ 中等 ” (Medium)。

稿源:cnBeta,封面源自网络

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 微软发布补丁并未完全修复 Windows 漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册