IT之家4月20日消息 日前穀歌Project Zero團隊公佈了微軟的Windows 10 S作業系統的一個“中度”安全性漏洞。 值得一提的是, 該團隊在今年一月就已經向微軟報告了該漏洞, 但是直到今年4月的補丁發佈日, 微軟也並未能完成修復。
Windows 10 S是一款由微軟開發的沙箱作業系統, 具有如無法運行Win32應用等限制。 通過此次發現的漏洞, 攻擊者可以在啟用了UMCI(包括Windows 10上預設啟用的設備保護Device Guard)的系統上執行任意代碼。
不過需要注意的是, 該漏洞只影響啟用了Device Guard的Windows 10 S系統, 且無法被遠端執行。 為了能夠修改相應的註冊表項, 攻擊者需要先在本地系統上執行代碼, 這讓這一問題顯得不是那麼嚴重。 穀歌認為, Edge流覽器中的遠端代碼執行(RCE)仍是一個風險, 若這一問題得到修復, 該漏洞就不會顯得那麼嚴重了。
穀歌最早在1月19日就向微軟報告了這個漏洞, 標準的90天截止日期過後, 微軟仍未修復它。 微軟要求進行為期14天的延期,
由於這一漏洞主要影響Windows 10 S系統, 我們也可稍稍坐穩放寬。 預計在5月8日的星期二補丁發佈日, 微軟就會推出相應的補丁。
想看到更多這類內容?去APP商店搜IT之家, 天天都有小歡喜。