剑客
关注科技互联网

披露安全漏洞来保护用户

在 10 月 21 日,星期五,我们报道了 0 天漏洞 — — 以前公开未知漏洞 — — 对 Adobe 和微软。Adobe 更新 Flash 10 月 26 日到地址 CVE-2016年-7855;此更新程序可通过 Adobe 的更新与 Chrome 的自动更新。

7 天后,我们公布的政策为积极利用的关键漏洞,每我们今天透露其余关键的漏洞,没有咨询或修复程序还没有发布的 Windows 中的存在。此漏洞是特别严重的因为我们知道它被积极的利用。

Windows 漏洞是可以用作安全沙箱逃脱了 Windows 内核中的本地特权升级。它可以通过 GWLP_ID 在一个窗口上的处理的索引与扩张的 NtSetWindowLongPtr() 设置为 WS_CHILD win32k.sys 系统调用触发。Chrome 的沙箱阻止 win32k.sys 系统调用使用 Win32k 锁定缓解上 Windows 10,防止利用此沙箱逃生漏洞。

我们鼓励用户验证自动更新已经更新了闪光 — — 并手动更新如果不是 — —,并应用从微软的 Windows 补丁程序,当他们变得可供 Windows 漏洞。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址