我们为您提供最新的资讯
www.zzssnews.com

谷歌称微软在Windows 10 1903中曾引入了一个让浏览器沙盒失效的漏洞互联网

2020-04-27 12:05:50
谷歌最近发布报告称,微软在Windows101903版本中曾引入了一个可以让所有基于Chromium内核的浏览器的沙盒模式失效的漏洞。微软做出的具体改动如下:"NewToken->ParentTokenId=OldToken->TokenId;改为NewTo

谷歌最近发布报告称,微软在 Windows 10 1903版本中曾引入了一个可以让所有基于 Chromium 内核的浏览器的沙盒模式失效的漏洞。

微软做出的具体改动如下:

"NewToken-> ParentTokenId = OldToken-> TokenId; 改为 NewToken-> ParentTokenId = OldToken-> ParentTokenId;"

当然对于我们这些不会变成的普通人来说,这行神奇的字符串实在是难以理解,简单来说这是把 Windows 10 系统关于分配安全令牌的代码改了改。

谷歌称微软在Windows 10 1903中曾引入了一个让浏览器沙盒失效的漏洞

微软在其安全公告(CVE-2020-0981 | 可绕过安全令牌功能的 Windows 漏洞)中简明扼要地解释了这个问题:“当 Windows 无法正确处理安全令牌问题时,会出现一个可以绕过 Windows 安全功能的漏洞。黑客可以利用该漏洞让一些采用一定完整性级别的程序在不同的完整性级别下运行代码,最终导致黑客可以将其恶意代码突破沙盒的限制。”

正如微软所提到(谷歌的 Project Zero 也发现了)的那样,这一漏洞可以让黑客将其恶意代码突破基于 Chromium 内核的浏览器的沙盒模式限制。

幸运的是微软已经在本月的补丁日发布了可以修复该漏洞的补丁(KB4549951),如果你还没有安装该补丁的话,建议你立刻安装避免安全问题。

谷歌在报告中提到:你的安全性取决于你最短的短板(此处暗示 Windows)。

免责声明: 本网站资讯内容,均来源于合作媒体和企业机构,属作者个人观点,仅供读者参考。 本网站对站内所有资讯的内容、观点保持中立,不对内容的准确性、可靠性或完整性提供任何明示或暗示的保证。

京ICP备18021148号   联系方式:010-56255660

邮件地址:1427007824@qq.com