當前位置:
首頁 > 新聞 > 微軟被曝Windows最新漏洞:極其糟糕!現漏洞詳情已發布

微軟被曝Windows最新漏洞:極其糟糕!現漏洞詳情已發布


本文作者:李勤


導語:谷歌研究員在 Windows OS 中發現了一個遠程代碼執行漏洞(RCE),但是這並非簡單的RCE,他們把它定性為「近期最糟糕的的 Windows RCE」。


雷鋒網消息,眾所周知,谷歌內部有一個超級黑客團隊——「Project Zero」,據 securityaffairs 5月8日報道,谷歌 Project Zero 的研究員在微軟 Windows OS 中發現了一個遠程代碼執行漏洞(RCE),但是這並非簡單的 RCE,他們把它定性為「近期最糟糕的 Windows RCE」。

上周末,Project Zero 的研究員 Tavis Ormandy 和 Natalie Silvanovich 在社交網站上公布了這一發現,不過,他們卻沒有透露太多的細節。



微軟被曝Windows最新漏洞:極其糟糕!現漏洞詳情已發布



【Tavis Ormandy的社交網站截圖】

「我認為,我和@natashenka 剛發現了 Windows 的遠程執行代碼漏洞,這個漏洞太可怕了,報告在路上。」


「攻擊者們不需要處於同一個區域網中就可以靜默安裝,這簡直是一個蟲洞。」


不過,當時他們並沒有公布該漏洞的細節。雷鋒網(公眾號:雷鋒網)了解到,Project Zero 是谷歌的互聯網安全項目,該團隊主要由谷歌內部頂尖安全工程師組成,致力於發現、跟蹤和修補全球性的軟體安全漏洞,按照谷歌的規定,他們在公布漏洞前, 首先通報軟體廠商並給他們90天的時間發布和修復補丁,然後才會將漏洞細節公之於眾。


此前,雷鋒網了解到的信息是:


Project Zero 團隊已經根據 POC 對 Windows 默認安裝進行研究。

Windows 該 RCE 漏洞可能被遠程攻擊者利用。


攻擊是「蠕蟲式」,可以自我傳播。


雷鋒網發現,美國時間 5月8日,微軟和谷歌均發布了關於這一漏洞的詳情。微軟表示,惡意程序防護引擎出現高危安全漏洞,該漏洞影響到包括MSE等在內的產品,相當嚴重。終端用戶和企業管理員不需要進行額外的操作,微軟惡意程序引擎本身自動檢測和更新部署機制會在48小時內應用更新。具體更新時間,視所用軟體、互聯網連接和基建配置而定。


漏洞編號:CVE-2017-0290


漏洞危害程度:Critical,高危

漏洞概述:


當微軟惡意程序防護引擎(Microsoft Malware Protection Engine)檢測某個惡意構造的文件後,攻擊者就利用漏洞實現遠程代碼執行。成功利用該漏洞,攻擊者就能在LocalSystem帳號安全上下文執行任意代碼,並控制系統。攻擊者隨後就能安裝程序;查看、更改或刪除數據;或者以完整的用戶許可權來構建新賬戶。


攻擊者實際上有很多種方法讓微軟的惡意程序保護引擎掃描到惡意構建的文件,比如目標用戶瀏覽某個網站的時候就能分發惡意部署文件,或者通過郵件信息、即時通訊消息——在實施掃描開啟的情況下,甚至是在不需要用戶開啟這些文件的情況下,微軟惡意程序防護引擎就會對其進行掃描。


影響範圍:

很多微軟的反惡意程序產品都在使用微軟惡意程序防護引擎。鑒於其中包含Windows 7/8/8.1/10/Server 2016中就默認安裝的反惡意程序產品,該漏洞應該是非常嚴重。



微軟被曝Windows最新漏洞:極其糟糕!現漏洞詳情已發布



雷鋒網原創文章,網站轉載請至雷鋒網官網申請授權。但,歡迎轉發分享~

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雷鋒網 的精彩文章:

搭載高通Quick Charge 4.0的手機,年中就能用上
聯通特定套餐芝麻信用650以上免預存,打破電信行業先付後享慣例
蘋果市值首破8000億美元,對iPhone 8寄予厚望
俄羅斯海關封殺網購中國小米手機

TAG:雷鋒網 |

您可能感興趣

微軟為Meltdown和Spectre漏洞發布後續更新
谷歌即將發布的Android P新功能細節泄露
蘋果官方重新發布了iPhone7系列,難道蘋果變良心了?
蘋果發布ios,你更新了嗎
微軟發布新Outlook.com測試版:美呆了
微軟發布Windows緊急更新,禁用spectre補丁
蘋果再次發布四則新廣告:iPhone就是比你的phone好!
蘋果公司發布了iOS,以修復iPhone的崩潰缺陷
蘋果重新發布"iPhone 7":翻新機也傲嬌 更便宜!
Android P即將發布:新特性遭曝光
黑莓高端Android新機Ghost或將很快發布
vivo打敗iphone X發布屏下指紋識別新機,開啟全面屏新時代
Nokia7 Plus發布,除去情懷還有哪些亮點?
蘋果發布翻新版iPhone 7 沒別的就是便宜!
蘋果重新發布「iPhone 7」:翻新機也傲嬌 更便宜!
iOS 更新發布 修復重大漏洞 支持HomePod
Vivo屏下指紋手機發布,還選iphone么?
蘋果正式宣布新發布!iPhone SE 2和iPad或者面臨更新
兩款新蘋果iPad曝光,或很快發布
泰勒發布新歌《Delicate》的MV,卻被質疑抄襲,難道做個鬼臉還有專利