暱稱為SandboxEscaper的安全研究人員,公布了從去年8月以來的第五個零時差漏洞新的漏洞存在於Windows 10的工作排程器(Task Scheduler),將允許本地端駭客將一般權限擴張至管理權限。

由於連續公布零時差漏洞,SandboxEscaper的Twitter帳號在去年12月底就被停權,迄今尚未恢復。但SandboxEscaper依然藉由部落格與GitHub繼續公布她的研究成果,並釋出影片展示攻擊行動。

SandboxEscaper說自己的專長在於發現Windows的本地端權限擴張漏洞,也歡迎各界開價,但單一漏洞的價格不得低於6萬美元。

除了這個工作排程器的漏洞之外,SandboxEscaper還說自己仍握有其它4個漏洞,當中有3個為本地端權限擴張漏洞,都可將權限擴張至管理權限,另一個則是沙箱逃逸漏洞。


Advertisement

更多 iThome相關內容