译文声明
本文是翻译文章,文章原作者zdnet,文章来源: zdnet.com 原文地址: https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/ 译文仅供参考,具体内容表达以及含义原文为准
继昨日SandboxEscaper在Github上发布新的0day达成5杀之后,今日她又公布了2个新的0day,这也是近一年来她公布的第六和第七个0day。
0day 1:Windows错误报告漏洞
此漏洞位于Windows错误报告服务中,可通过DACL方式利用。因为去年12月她于此处发现的类似的漏洞被命名为AngryPolarBearBug,所以新漏洞被命名为AngryPolarBearBug2。
虽然此漏洞可实现本地提权,不过相比于之前的漏洞,此漏洞利用上要复杂的多,她于博客上表示触发可能需要15分钟之久,所以危害不会特别大。
0day 2:IE 11漏洞
她公布了此漏洞的利用和视频演示,成功利用后,此漏洞可实现在IE中注入恶意代码,但经安全人员分析,此漏洞无法远程利用,所以危害也不会特别大。
0day也许会迟到但不会缺席
昨日她选择在微软补丁日一周后公开漏洞信息和利用,成功带了一波节奏。与此同时她威胁说自己还有另外4个没有公开的漏洞,其中三个为本地提权漏洞,一个为沙盒逃逸漏洞,并希望寻找到合适的买家。从今日新公开的两个漏洞来看,昨天的声明可信度相当高,但另外两个漏洞是采取和往常一样的方式公开还是转而售卖还未可知。昨日推特网友对此事件的态度也呈两极分化:一部分认为这样将普通用户置身于网络风险中非常不负责任;一部分认为这样公开总比私下售卖安全得多,不知她是否被昨天事件舆论影响选择今天公开其中两个漏洞,接下来两个漏洞的详情我们也将保持关注。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Spring Data的魔力
- 2018 Gartner魔力象限“大裁员”
- 预测《权游》角色生死,AI算法魔力何在?
- Gartner云端盘点,浅谈2017IaaS魔力象限
- 阿里、百度、腾讯都选择 Flink,它到底有什么魔力?
- AMAZ LINUX 2 + QB + GD 挂 PT 魔力
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
