谷歌呼唤微软无法修复报告的缺陷
Google'sproject Zerounit的研究人员致力于在软件中查找安全漏洞报告2017年11月在Windows 10中报告了缺陷,他们索赔仍未得到修复。
本揭露仅次于项目零之后的几天与2017年11月份的缺陷一起公开,缺陷inmicrosoft的边缘浏览器,但在90天截止日期内没有修复谷歌单元为软件供应商集。
在微软发布贴片之前公开披露的最新缺陷已被项目零研究人员归类为“高”严重程度。他们向11月份向微软报告了问题,同时在同一功能中的另一个缺陷。
虽然与SVCMovefileInhersecurity的一个缺陷有关的缺陷在Microsoft的二月安全更新中修复了Microsoft,但Project Zero表示修补程序的分析显示,尽管提供了微软的宽限期,但仍然没有修复其他缺陷仍未得到修复。可以于2月13日发布。
根据项目为零,遗留未固定的漏洞可用于将任意安全描述符分配给通往特权的Anelevation的任意文件,这些文件通常由Cyber攻击者使用,以获得管理员权限以移动不接受的未接受内部的目标网络或系统。
远程过程调用使用MoveFileEx函数调用,该函数调用将文件移动到新目的地。当RPC将硬链接文件移动到具有可继承的访问控制条目(ACES)的新目录时,会出现此问题。现在,即使硬链接文件不允许删除,可以根据它已被移动到的新父目录提供的权限允许它。
这意味着即使文件是只读的,如果服务器在父目录上调用setNamedSecurityInfo,则它将能够将其分配任意安全描述符,这可能允许网络上的其他用户进行修改。
Project Zero提交了概念验证代码,该代码在Windows文件夹中创建文本文件,并滥用SVCMovefileInherItsecurity RPC以覆盖安全描述符以允许访问每个人。
研究人员指出,Microsoft认为这是一个“重要的”但不是“关键”问题,因为虽然它允许提升特权,但它无法远程完成,不能从沙箱中使用,例如边缘和Chrome使用的沙箱。
然而,项目零表示,它已将问题标记为“高”严重程度,以反映对问题类型的易消化,并通知微软将公开披露缺陷。
如果Windows 10缺陷的公开披露将导致来自Microsoft的修补程序,这是仍然可以看到的,这是响应新闻网站Neowin关于预期时间范围的查询,发出以下语句:“Windows有客户承诺调查报告的安全问题,并尽快主动更新受影响的设备。”
Project Zero过去来自微软的火灾过去,过去披露漏洞,然后宣布这些行动为攻击者提供了一个机会窗口。
微软一直支持研究人员,仅向软件供应商透露漏洞,并表示向供应商的“负责任披露”而无需进一步的披露,有助于确保客户在网络犯罪分子之前获得全面,高质量的更新,并申请漏洞 - 漏洞。