目前無解!被公開的Windows 10最新漏洞

作者: 郭欣逸 發佈時間:2018-08-31 00:24:00 產業分類: 數位媒體 文章分類: 技能觀測
瀏覽人數:75

最近有一位名為SandboxEscaper的資安研究人員在一台win10電腦上利用「Zero-day」零時差攻擊漏洞1取得系統管理員級權限,根據說明,該項漏洞來自Windows 的工作排程器Advanced Local Procedure Call(ALPC)介面中,SandboxEscaper發現本機用戶能透過攻擊程式獲得系統管理員權限對系統進行控制。

然而SandboxEscaper在發現系統漏洞之後,並未先將訊息通報給微軟進行處理,反之,該研究人員將其程式碼公布於程式碼開放平台github上供人取用,而其之所以未優先向微軟進行通報的原因可能來自於先前向微軟提出漏洞通報後得到不愉快的通報經驗,才使其選擇直接將漏洞公開於網路上。

依現況被公布的系統漏洞目前並無解決方案,只能等待9/11微軟釋出的更新進行修補,由於公開的攻擊程式有極大機率被駭客用以進行不法行為,希望大家在近期使用電腦時注意安全,勿點選來路不明的網頁連結或信件。(下圖為微軟漏洞修補通知訊息)

    

註1:零日漏洞或零時差漏洞通常是指系統中還沒有修補程式的安全漏洞,而零日攻擊或零時差攻擊則是指利用這種漏洞進行的網路攻擊。

 

 

參考來源:

https://zh.wikipedia.org/wiki/%E9%9B%B6%E6%97%A5%E6%94%BB%E5%87%BB

https://buzzorange.com/techorange/2018/08/30/researcher-open-windows-10-bug-without-notified/