早些时候经常公布Windows 10零日漏洞的黑客Sandbox Escaper直接公开任务计划程序中的某个安全漏洞,不过与微软关系非常僵的这位黑客还表示将会发布更多漏洞,比如现在又有三枚未经修复的零日漏洞被公布,这些零日漏洞多数依然是Windows 10本地权限提升错误,不过这次还有个针对IE11浏览器的沙箱逃逸漏洞。
死磕微软甚至还与FBI杠上:
鉴于这名黑客此前多次未经微软同意公布零日漏洞细节,目前有传闻美国联邦调查局已经开始着手调查此事,传美国联邦调查局已经联系谷歌要求谷歌提供她的账号信息,至于要账号信息拿来干什么估计大家也能猜到,不过尚不清楚是微软联系该调查局寻求帮助还是调查局主动介入的,但不论如何也不能阻止她继续公开漏洞,在这次公布漏洞中她还表示在市场上向「讨厌美国的人」出售漏洞,显然是对美国联邦调查局介入作出回应。
漏洞方面的细节:
Sandbox Escaper公布的零日漏洞基本都已经被安全业界确认,部分漏洞的CVSS 3.0 严重性评分高达7.8分,IE11的零日漏洞主要可以让攻击者将.DLL动态链接库注入到浏览器中,最终可以用来从IE的沙盒模式中逃逸,权限提升则是 Windows AppX 部署服务中不正确地处理硬编码链接导致的,利用该漏洞可以提高本地权限,最后还有Windows 10系统更新服务的安装程序绕过问题,利用这个问题可以与其他恶意软件触发回滚操作。
