Google披露了Microsoft未能修复它的安全团队在Windows 7到Windows 10的漏洞。
微软确认了未点燃的零日漏洞,根据Google的Project Zero Team表示,这会影响从Windows 7到Windows 10的每个版本的Windows操作系统。这是攻击者的针对性。
根据微软发言人的说法,他们试图努力完成所有披露截止日期,例如诸如Google Project Zero的7天披露截止日期之类的短期截止日期。它开发了一个安全更新,可以平衡及时性和质量。发言人:“我们的最终目标是帮助确保最大程度的客户保护客户。”告诉福布斯。
CVE-2020-17087效果
但是,即使攻击者一直在积极针对Windows系统,也不意味着该系统将被关闭。根据鸣叫Google的威胁分析小组总监Shane Huntley从项目零技术负责人Ben Hawkes中指出,攻击者一直在不针对美国选举相关的系统而利用漏洞。
目前,我们预计该问题将于11月10日提供。我们已与Google威胁分析小组Shane Huntley的董事确认(@shanehuntley),这是针对性的剥削,这与任何与美国选举相关的针对目标无关。 - 本·霍克斯(Ben Hawkes)(@benhawkes)2020年10月30日
霍克斯在推文上指出,微软尚未透露何时应用安全补丁以避免Windows漏洞开发。
尽管微软证实了报告的攻击,但表明没有迹象表明这是广泛的利用,但仅限目标范围。同时,攻击本身需要两个漏洞来推出成功的利用。
但是,其中一个已经被修补:CVE-2020-15999,这是Chrome浏览器中的基于浏览器的漏洞,其中还包括Microsoft Edge。同样,只要浏览器更新,系统就会受到保护。谷歌铬合金已于10月20日更新Microsoft Edge于10月22日更新。
当前,Windows漏洞尚无已知攻击。但是,这并不意味着机器是完全安全的,因为访问已经折衷的系统的网络犯罪分子仍然可以利用它,尽管该漏洞不能影响加密功能。
Microsoft发言人说:“微软有客户承诺调查报告的安全问题并更新受影响的设备以保护客户。”
同时,这种零日攻击还带来了重大风险,例如密码重复使用,网络钓鱼以及缺乏两因素身份验证。
这归技术时代拥有
由CJ Robles撰写
