羞辱還在繼續。幾天前,Google安全研究人員公佈了 Edge 瀏覽器零日漏洞的技術細節,微軟已經超過了這家網路巨頭設定的 90 天期限。今天,一切又重新開始了。他們剛剛發布了Windows 10 中的零日漏洞出於同樣的原因:倒數計時已經結束。
所討論的漏洞並不嚴重,但仍然很重要。遠端過程呼叫 (SvcMoveFileInheritSecurity) 中的錯誤允許繞過檔案的存取權限,使任何人都可以存取和修改它們。例如,Google 提供了一個示範程式碼,允許具有使用者權限的攻擊者在 Windows 目錄中建立一個文字文件,並為每個人分配讀取/寫入權限。
微軟認為一舉兩得鳥
事實上,這個缺陷是谷歌在同一功能中發現並微軟修補的另一個缺陷的特例2月13日。雷德蒙德公司認為這兩個漏洞是相同的,並相信這個補丁足以解決這兩個問題。不幸的是,事實並非如此。因此,微軟開發人員將不得不再次捲起袖子。
同時,海盜們也很高興。他們將再次能夠利用世界上部署最廣泛的系統之一中記錄充分的零日缺陷。
