Google的projectzero發(fā)布了windows10內(nèi)核中緩沖區(qū)溢出漏洞的概念證明代碼，該漏洞可用于本地權(quán)限提升，在操作系統(tǒng)上運行惡意軟件。如果加上最近修補的Chrome漏洞，這將允許網(wǎng)絡(luò)惡意軟件逃離Chrome沙盒，完全控制PC。

谷歌說這個缺陷(CVE-2020-17087)微軟只給了微軟7天的時間來修補它，這一期限毫無疑問已經(jīng)過去了，沒有修補程序。

據(jù)ProjectZero的技術(shù)負責(zé)人BenHawkes稱，微軟計劃在11月10日發(fā)布一個補丁。

盡管這一漏洞被肆無忌憚地利用，但谷歌和微軟都表示，這些攻擊是“有針對性的”，但與美國大選無關(guān)。

微軟的一位發(fā)言人說，所報告的攻擊是非常有限的，而且是有針對性的，我們還沒有看到任何證據(jù)表明這種攻擊被廣泛使用

當(dāng)然，現(xiàn)在概念驗證代碼已經(jīng)發(fā)布了，這很可能不再是這樣了。

該漏洞被認為會影響到Windows 7之前的Windows版本，以及Windows 10的所有完整修補版本。

微軟在一份聲明中說：

Microsoft承諾調(diào)查報告的安全問題并更新受影響的設(shè)備以保護客戶。雖然我們致力于滿足所有研究人員的披露截止日期，包括本場景中的短期截止日期，但開發(fā)安全更新是在及時性和質(zhì)量之間的平衡，我們的最終目標(biāo)是幫助確保最大限度地保護客戶，同時盡量減少客戶中斷