• 2018/8/30

研究員未通報微軟就公開 Windows 10 漏洞,「現階段無解」殺的大眾措手不及!

引用本文加入書籤轉寄本文
現階段相關的攻擊並沒有解決方法,只能等待微軟於 9 月 11 日釋出更新檔修補,只能提醒大家在這段時間內使用電腦千萬要注意安全,並且在更新釋出後盡快更新,畢竟我相信大家都還記得,上次不更新時發生的勒索病毒大爆發事件。

通常資安人員或白帽駭客,在發現一個新的電腦漏洞時,都會先向廠商回報,待廠商修復後才公布相關的研究結果;然而,近日卻有一位資安研究人員沒有這麼做。

這位研究人員在網路上公開了一個 Windows 10 的零時差漏洞(尚未被人公開過的意思),還把攻擊工具放在 Github 上;最慘的是,現階段相關的攻擊並沒有解決方法,只能等待微軟於 9 月 11 日釋出更新檔修補,只能提醒大家在這段時間內使用電腦千萬要注意安全,並且在更新釋出後盡快更新,畢竟我相信大家都還記得,上次不更新時發生的勒索病毒大爆發事件。

日前有保安研究人員在一部完全安裝 Windows 10 保安升級檔的電腦上,成功利用「Zero-day」零時差攻擊漏洞取得系統管理員級權限。這位人士在微軟未發表修補更新的情況下,就在 Twitter 公佈了這個漏洞,更在 GitHub 公佈了攻擊程式,恐怕有機會被駭客利用。

研究人員 Twitter 揭 Windows 10 漏洞

一位名為「SandboxEscaper」的保安研究人員日前在其 Twitter 帳戶上發出帖文,指在 Windows 的工作排程器的 Advanced Local Procedure Call(ALPC)界面中,發現本機用戶能獲得系統管理員權限的漏洞。

漏洞目前無解法,微軟:9 月 11 更新將解決

美國電腦網路危機處理中心(CERT / CC)已確認了漏洞在 64 位元的 Windows 10 和 Windows Server 2016 的系統中存在。美國電腦網路危機處理中心分析師 Will Dorman 在 Twitter 發文指,在已安裝最新修正檔的 64 位元 Windows 10 系統內也發現相關漏洞。

他指在微軟發佈修補更新前,沒有阻止攻擊者利用漏洞的方法。

Microsoft 在回應《Tom’s hardware》的查詢時指,在 9 月 11 日(星期二)的更新中會提供解決方案。
美國電腦網路危機處理中心報告,圖片來源 : cnbeta。
▲ 美國電腦網路危機處理中心報告,圖片來源 : cnbeta。

外媒《Tom's hardware》的編輯指,SandboxEscaper 應該曾向 Microsoft 匯報,但有不太好的經歷(請參閱本文上方SandboxEscaper Tweet原文,國罵用字頗多,顯然過往關係甚差。),才會選擇在 Twitter 公開。該編輯又指,如果黑市提出的價錢比程式生產商高很多,有些人會寧願把漏洞出售。

0
0

複製引用網址

回應
共 0 筆

我要留言* 必填
鉅亨網【部落新世界Blog】 Email:
(建議填寫,版主回覆會用郵件通知您)
鉅亨網【部落新世界Blog】 記住我的個人資料:
鉅亨網【部落新世界Blog】 私密留言:僅提供會員使用,如欲使用私密留言請先 登入會員
鉅亨網【部落新世界Blog】 留言內容:【限制 1000 個字元】
鉅亨網【部落新世界Blog】 認證碼:

台灣玉山科技協會
  • 暱    稱:台灣玉山科技協會 
  • 部落分類:  
  • 我的好友們(0
  • 誰加我為好友(0
  • 我的收藏部落(0
  • 白天電話:02-27387415 
  • 地址:台北市復興南路 2 段 268 號 5 樓之 1  
  • 自我介紹:實踐全球華人知識經濟共同體之平台,以科技、創業及投資交流為主軸,吸引全球華人科技創業家之參與,並推動知識經濟,協助台灣之中小企業升級,透過創新技術、經營模式、或行銷包裝進行轉型,提昇被投資的價值。 

《MORE》

13

本日人氣:0
累積人氣:27443