其他
不到24小时,黑客揭露了3个未修补的微软零日漏洞
更多全球网络安全资讯尽在E安全官网www.easyaq.com
小编来报:黑客SandboxEscaper在不到24小时的时间里,公布了3个微软零日漏洞,并且还有2个即将公布……
据外媒报道,在公开披露Windows 10中一个未修补的零日漏洞后不到24小时,别名为“SandboxEscaper”的匿名黑客现在又公布了另外两个微软零日漏洞。这两个新的零日漏洞影响微软的Windows错误报告服务和IE 11。
5月22日,SandboxEscaper在Task Scheduler程序中发现了一个本地特权升级漏洞,并声称还有四个零日漏洞,目前已经公开发布了两个。
这个微软最新的零日漏洞之一存在于Windows错误报告服务中,可以利用DACL(自由访问控制列表)。攻击者成功利用漏洞后,可以删除或编辑任意Windows文件。
但是,SandboxEscaper表示,利用这个漏洞并不容易,可能需要超过15分钟的时间来触发,她甚至不确定能否成功利用它。
SandboxEscaper公布的第二个微软零日漏洞影响IE 11。尽管黑客没有说明这个漏洞的细节,但黑客发布的视频演示显示,当脆弱的浏览器处理恶意编写的DLL文件时,该漏洞会由于错误而存在。这最终将允许攻击者绕过IE保护模式沙箱,以中等完整性权限执行任意代码。
SandboxEscaper在过去24小时内发布的这三个零日漏洞目前都没有被修复,并且她还承诺会在未来几天公布另外两个微软零日漏洞。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!