時間:2018-04-20 來源:互聯網 瀏覽量:
4月20日消息 日前穀歌Project Zero團隊公布了微軟的Windows 10 S操作係統的一個“中度”安全漏洞。值得一提的是,該團隊在今年一月就已經向微軟報告了該漏洞,但是直到今年4月的補丁發布日,微軟也並未能完成修複。
Windows 10 S是一款由微軟開發的沙盒操作係統,具有如無法運行Win32應用等限製。通過此次發現的漏洞,攻擊者可以在啟用了UMCI(包括Windows 10上默認啟用的設備保護Device Guard)的係統上執行任意代碼。
不過需要注意的是,該漏洞隻影響啟用了Device Guard的Windows 10 S係統,且無法被遠程執行。為了能夠修改相應的注冊表項,攻擊者需要先在本地係統上執行代碼,這讓這一問題顯得不是那麼嚴重。穀歌認為,Edge瀏覽器中的遠程代碼執行(RCE)仍是一個風險,若這一問題得到修複,該漏洞就不會顯得那麼嚴重了。
穀歌最早在1月19日就向微軟報告了這個漏洞,標準的90天截止日期過後,微軟仍未修複它。微軟要求進行為期14天的延期,表示將在5月補丁中推出漏洞修複補丁。但該日期已經超出了寬限期,穀歌拒絕了這一請求。
由於這一漏洞主要影響Windows 10 S係統,不過我們也可稍稍坐穩放寬。預計在5月8日的星期二補丁發布日,微軟就會推出相應的補丁。
