开发者不满微软MSRC安全部门响应流程,公开披露Windows本地提权零日漏洞
IT之家 4 月 7 日消息,据外媒 BleepingComputer 报道,近期有研究者 Chaotic Eclipse 在 GitHub 公布了微软 Windows 中一项名为 BlueHammer 的本地提权零日漏洞,该研究者同时透露,自己早前已私下将漏洞曝光给了微软,然而微软安全响应中心(MSRC)的响应流程“令其过于反感”,因此该研究者最终决定亲自公开披露漏洞细节。
从技术角度来看,BlueHammer 主要利用了 TOCTOU(检查时与使用时不一致)竞态条件与路径混淆问题组合方案进行攻击,黑客得手后可访问系统中的 SAM(Security Account Manager)数据库,从而获取本地账户的密码哈希,并进一步获得系统 SYSTEM 权限。
不过,研究者同时提到, 该漏洞利用难度较高,需要黑客已具备本地访问权限 ,同时相应漏洞在 Windows Server 等环境中可能无法稳定运行。
对此,微软回应称“公司始终致力于调查已报告的安全问题,并将尽快发布更新以保护用户”。同时,微软也重申其“协调漏洞披露”(Coordinated Vulnerability Disclosure)机制,以确保旗下产品存在的漏洞在公开前就能得到充分修复,从而在保护用户安全。
关键词 :
微软 Windows 开发者 研究者 零日漏洞
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
“不好看就退票”服务,能救电影院吗? 微信封禁自家“兄弟”红包,打的什么牌? 华住,比携程还会捞金?
奉化渔民捕获巨无霸金枪鱼 当地多年罕见:市值超10万 阿尔忒弥斯2号宇航员出圈 太空半裸画面意外被直播 女网友大赞身材太棒 华为Pura X2本月发:全球首款大屏阔折叠 比iPhone Fold早半年 特斯拉适配鸿蒙操作系统:海外厂商主动入局,鸿蒙已成全球开发者适配必选项 绝活太多!我国首个机器人保姆正式上岗:短短一天内订单被刷爆 参半牙膏母公司赴港IPO 39.9元/支明星同款恐有24元在“买”营销 内存别想降价了!三星:继第一季度涨价100%之后 第二季度价格再涨30% 创立16周年!小米公布值得被记住的16件事 分化中见暖意 假期楼市释放“小阳春”信号 电力基础设施卡脖子:美国半数数据中心建设项目被迫延期
彻底摧毁!伊朗威胁要炸掉300亿美元OpenAI星际之门AI数据中心 卫星地图公布 37.68万起 顶配三电机超1400马力!极氪8X定档4 月17日上市 张雪未提车 陈光标晒出捐给嫣然1000万元汇款单 张雪回应:标哥真男人 理想汽车高管:张雪三缸机绕开所有海外专利壁垒 解决了国产大排摩托卡脖子问题 马斯克妄言成真!首批千岁人或已出生:未来750岁退休只是起步 车主赶紧加油!国内油价将迎六连涨 今日开始调价 外链抽佣 27% 博弈升级:苹果称降低佣金冲击商业模式,坚持上诉至美国最高法院 3DMark将某知名国产手机除名:认定其跑分“作弊” 挑战行业最强!REDMI K90 Max搭载超大尺寸风冷:真身揭晓 宝马电池负责人暗讽比亚迪闪充 直言宝马更可靠:网友狂吐槽