沮丧的安全研究人员披露了 Windows 零日漏洞,指责微软

Windows 中出现了一个新的零日漏洞,这一次,愤怒的安全研究人员向公众披露了该漏洞。该漏洞与用户利用具有未经授权的系统权限的命令提示符通过网络共享危险内容有关。

根据Bleeping Computer的一份报告,披露此漏洞的安全研究员 Abdelhamid Naceri 对微软因漏洞赏金计划的支付感到沮丧。在过去的两年中,赏金显然已被大幅降级。 Naceri 也不孤单。一位 Twitter 用户在 2020 年报告说,零日漏洞不再需要支付 10,000 美元,现在价值 1,000 美元。本月早些时候, 另一位 Twitter 用户报告说,可以随时减少赏金。

Windows 11 蓝色错误崩溃屏幕。

微软显然通过最新一轮的“星期二补丁”更新修复了一个零日问题,但留下了另一个未打补丁和错误修复的问题。 Naceri 绕过了补丁并找到了一个更强大的变体。零日漏洞影响所有受支持的 Windows 版本,包括 Windows 8.1、Windows 10 和Windows 11。

“这个变种是在分析 CVE-2021-41379 补丁时发现的。但是,该错误并未正确修复,而是放弃了绕过。我实际上选择放弃这个变体,因为它比原始变体更强大,” Naceri 在GitHub 帖子中解释道。

他的概念证明在 GitHub 上,Bleeping Computer 测试了该漏洞并运行了它。据该出版物称,它还被恶意软件在野外利用。

微软发言人在一份声明中表示,它将采取必要措施确保其客户的安全和受到保护。该公司还提到它知道最新的零日漏洞的披露。它提到攻击者必须已经拥有访问权限并能够在目标受害者的机器上运行代码才能使其工作。

由于美国的感恩节假期以及黑客需要物理访问 PC 的事实,补丁发布可能需要一段时间。 Microsoft 通常在每个月的第二个星期二发布修复程序,称为“补丁星期二”。它还首先使用 Windows Insiders 测试错误修复。最快可能在 12 月 14 日修复。