(win 7示意圖)Google在2月底提報的Windows零時差漏洞,應該只有在Win 7上才能被利用,因此建議Win 7用戶可考慮升級到Win 10,或是當微軟釋出修補程式時儘速更新。

Google甫於日前揭露了有一攻擊程式鎖定了Chrome的零時差攻擊漏洞,3月7日進一步說明該攻擊程式其實是同時開採了Chrome與Windows的零時差漏洞。

Google威脅分析團隊工程師Clement Lecigne說明,其實他們在2月27日便提報了兩個零時差漏洞,其中一個是現身於Chrome的CVE-2019-5786,Google已修補該漏洞並於3月1日更新了Chrome平台,另一個漏洞則存在於Windows平台,此一Windows漏洞藏匿在Windows win32k.sys的核心驅動程式,屬於本地權限擴張漏洞,可用來執行沙箱逃逸,但尚未被修補。

Lecigne指出,他們已將該漏洞提報給微軟,有鑑於它是個嚴重的Windows漏洞,而且已被開採以執行目標式攻擊,因而決定對外公布。

此一微軟正在修補的Windows漏洞可用來擴張權限,也能結合其它的瀏覽器漏洞以規避安全沙箱。

Google威脅分析團隊認為,該漏洞應該只有在Windows 7上才能被利用,因為其它較新的Windows版本皆具備緩解措施,且迄今只發現32位元的Windows 7遭到開採。建議Windows 7用戶可考慮升級到Windows 10,或是當微軟釋出修補程式時儘速更新。


Advertisement

更多 iThome相關內容