微软修补了之前谷歌发现并披露的 Windows 零日漏洞

上个月，谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞（CVE-2020-117087）在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 “补丁星期二”的一部分，微软目前已经发布了该漏洞的修复程序。

http://hackernews.cc/wp-content/uploads/2020/11/f2c17bbee831e22.png

被称为 “Windows Kernel Local Elevation of Privilege Vulnerability “的CVE-2020-17087早在10月22日就被微软曝光。通常情况下，Project Zero会在公开漏洞细节之前提供90天的宽限期，但由于该漏洞处于已经被利用的状态，因此将这一宽限期缩减至仅7天。

Project Zero团队解释道：Windows内核加密驱动(cng.sys)向用户模式程序暴露了一个\Device\CNG设备，并支持各种非常规输入结构的IOCTL。它构成了一个本地可访问的攻击面，可以利用它进行权限升级（甚至可被用于沙箱逃逸）。

在MSRC门户网站上，微软感谢Google Project Zero的Mateusz Jurczyk和Sergei Glazunov所做的工作，使开发团队迅速注意到了这个漏洞。

不同版本的Windows和Windows Server的修补程序链接可以在以下页面中找到：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-17087

（消息来源：cnBeta；封面来自网络）