微软的慷慨太吝啬:安全研究人员在愤怒中暴露Windows零日漏洞
安全研究员@MalwareTechBlog在推特上写道:随着微软调整漏洞奖励计划,一个影响所有支持的Windows操作系统版本的漏洞的“已识别价值”从最初希望提交的1万美元立即降至1000美元。Abdelhamid Naceri在接受Bleeping Computer采访时称,大家对微软的新漏洞赏金政策感到十分沮丧。
Windows电源提升漏洞的简单演示
据悉,自2020年4月以来,微软的漏洞奖励计划变得“一文不值”。如果软件巨头没有降低奖励值,以阿卜杜勒哈米德纳切里(Abdelhamid Naceri)为代表的安全研究人员就不会在愤怒中暴露零日漏洞。
其他安全研究人员同意:Naceri公开的漏洞使得普通用户很容易提取和获得SYSTEM权限。更令人震惊的是,这个漏洞利用是基于微软的补丁。
(概念证明:GitHub)
具体来说,Naceri在分析CVE-2021-41379补丁时发现了此漏洞。然而,微软没有正确修复相关错误,也没有选择另一条技术路线,即结果导致变种漏洞的危害性比之前更强。.
Naceri在文章中解释说,“installerfile接管”漏洞影响了几个仍受支持的操作系统版本,如Windows 10、Windows 11和Windows Server。
新的Windows零日本地特权提升漏洞(通过)
虽然漏洞本身“并不完整”,但别有用心的攻击者还是可以结合其它漏洞利用路径,来实现对计算机网络的完全接管。
不幸的是,截至哔哔电脑的新闻稿,微软官方尚未对此事做出任何回应。
延伸 · 阅读
- 2021-11-23 17:31“女乔布斯”福尔摩斯即将因“验血癌症”骗局受审或面临2
- 2021-11-23 17:31伪造大额存单骗取客户资金 工行抚松支行一员工被禁11年
- 2021-11-23 17:31红色青春筑梦,助力乡村振兴 ——山东建筑大学智农助兴团队系列报道
- 2021-11-23 17:31“王宁”股价再创新高 后面的人头超过张一鸣 飙升至610
- 2021-11-23 17:31历史性时刻!德国允许L3自动上路行驶 奔驰明年就可以用了
- 2021-11-23 17:31这些新车每个月都有哪些值得骄傲的地方?