微软早些时候已经面向Windows 10的各个版本发布累积更新,这些累积更新除常规修复外还封堵不少漏洞,其中有个任意文件读取漏洞虽然微软没有在日志中说明,但经过研究人员的测试这个漏洞目前也已经被修复,之所以提这个漏洞是因为发现这枚漏洞的研究人员与微软矛盾较深,甚至微软还把她的 GitHub 账号封禁了。
上集回顾:公开漏洞被微软封号
这名研究人员在四个月内发现三个Windows 10较严重的漏洞,并且发现漏洞后研究人员直接公开这些漏洞,显然研究人员的这种做法让微软非常不淡定,而且每次研究人员公布漏洞都还是托管在微软的 GitHub平台,去年年底这名研究人员发现这个任意文件覆写漏洞时一如既往的又公开漏洞,结果微软直接把她的账号封掉。
漏洞危害性不是特别大的任意文件读取:
该漏洞的危害性相对来说不算是特别大,因为攻击者并不能借助这个漏洞远程执行任意命令或者远程控制等,正常情况下系统级文件有读写保护权限是不允许用户直接修改的,而这枚漏洞则可以越过微软安全检查机制,不怀好意者可以通过这枚漏洞读取系统上的任意文件,不过需要提前向用户安插后门程序或其他远程病毒等,当然既然能够安插后门了也没必要再利用这枚漏洞,所以总体来看这枚漏洞的危害性并不是特别严重的那种。
