安全研究人员@MalwareTechBlog在推特上吐槽道:由于微软调整了漏洞赏金计划,其原本想提交的一个影响所有受支持Windows操作系统版本的提权漏洞的“认定价值”,也从10000美元瞬间跌到了1000美元。Abdelhamid Naceri在接受Bleeping Computer采访时称,大家对微软的新漏洞赏金政策感到十分沮丧。纳闻
据悉,自 2020 年 4 月以来,微软的漏洞赏金计划就已经变得“一文不值”。如果这家软件巨头没有下调赏金价值,以 Abdelhamid Naceri 为代表的安全研究人员,也不会怒而曝光零日漏洞。纳闻
其他安全研究人员附和道:Naceri 披露的漏洞,很容易让普通用户提取并获得 SYSTEM 系统权限。更让人感到震惊的是,该漏洞利用是基于微软的补丁而开发的。纳闻
|
|
具体说来是,Naceri 在分析 CVE-2021-41379 补丁时发现了这个漏洞。然而微软并未正确修复相关错误、或选择另一条技术路线,结果导致变种漏洞的危害性比之前更强。纳闻
Naceri 在文章中解释称,“安装器文件接管”(InstallerFileTakeOver)漏洞影响 Windows 10、Windows 11 和 Windows Server 等多个仍受支持的操作系统版本。纳闻
New Windows zero-day local privilege elevation vulnerability(via)纳闻
虽然漏洞本身“并不完整”,但别有用心的攻击者还是可以结合其它漏洞利用路径,来实现对计算机网络的完全接管。纳闻
遗憾的是,截止 Bleeping Computer 发稿时,微软官方都没有就此事给出任何回应。 纳闻
纳闻 | 真实新闻时事动态:安全研究人员怒而曝光Windows提权零日漏洞
相关推荐: 美片场枪械走火打死导演 阴谋?意外?专家说…..
独立电影《铁锈》主演兼制片人鲍德温在拍摄过程中使用道具枪射击,意外杀死了摄像师哈钦斯。现场安保不足?还是是有人偷偷往道具枪里填充了实弹?或者是空包弹并没有处理好?#AlecBaldwin https://t.co/Fj9biIWTqu — DW 中文- 德国之…