Windows核心和Chrome瀏覽器的零時差漏洞已被駭客串聯發動攻擊,現在先更新Chrome,Windows修補還在路上

Windows核心一項新的零時差漏洞,讓駭客可結合Chrome近期揭露修補的漏洞,在Windows裝置上執行惡意程式碼,微軟收到Google Project Zero通報後,計畫在11月Patch Tuesday發布修補程式

Google Project Zero周末公布Windows核心一項零時差漏洞,讓駭客可結合Chrome先前揭露的漏洞,在Windows裝置上執行惡意程式碼。更糟的是,已有證據顯示有針對本漏洞的惡意活動。

Google Project Zero總監Ben Hawkes指出,新發現的漏洞編號CVE-2020-17087為Windows核心內,可和同為Project Zero上周揭露的Chrome瀏覽器Freetype零時差漏洞被串連起來,用於沙箱逃逸(sandbox escape)攻擊。

Chrome的CVE-2020-15999允許攻擊者在Chrome中執行惡意程式碼。另一方面,根據Google的分析,CVE-2020-17087位於Windows 核心中加密驅動程式(cng.sys)中的pool-based緩衝溢位漏洞。它出在該元件IOCTL 0x390400處理過程,可讓本機攻擊者進行權限升級。而結合前述Chrome的漏洞,可能讓惡意程式突破沙箱而在Windows執行。

Google並指出,有證據顯示目前該漏洞已經遭到使用,而且為一精準攻擊,因而落在7天揭露期限的範圍內,而於10月22日公開。不過Google威脅分析小組研判這次攻擊並非針對美國選舉系統而來。

CVE-2020-17087被列為高風險漏洞,Google Project Zero已通知微軟,微軟預定於11月10日的Patch Tuesday發布修補程式。

微軟對The Register指出,將會努力在研究人員的揭露期限要求前,釋出同時滿足時效及品質的安全更新來保護用戶。但微軟同時也強調,這項漏洞的開採難度並不低,因為攻擊者需要先駭入主機再入侵本機作業系統的漏洞。前者目前所知為Chromium瀏覽器的漏洞(即CVE-2020-15999),但Google已經釋出修補程式。

這表示Chrome用戶應儘速升級到最新版本的86.0.4240.111以上,因為Google說網路上已存在針對該漏洞的攻擊程式。

文章來源:iThome

向上滑動