奇安信代码安全实验室帮助微软修复高危漏洞，获官方致谢 – 作者:奇安信代码卫士

奇安信代码安全实验室研究员为微软发现两个漏洞（CVE-2020-17038和CVE-2020-17030），其中CVE-2020-17038为“高危”级别。研究员第一时间向微软报告并协助其修复漏洞。

北京时间2020年11月11日，微软发布了补丁更新公告以及致谢公告，公开致谢奇安信代码安全实验室研究人员。

图：微软官方致谢

漏洞简述

CVE-2020-17038 – Win32k 提权漏洞

低权限的本地攻击者在无需用户交互的情况下，即可触发该漏洞，提升攻击者的权限。微软对该漏洞的可利用性评估是“较有可能被利用”，即更可能被攻击者利用，相关用户应该将其设为较高优先级。

CVE-2020-17030 — Windows MSCTF Server信息泄漏漏洞

低权限的本地攻击者在无需用户交互的情况下，即可引发信息泄漏，使攻击者获得进一步攻陷受影响系统的信息。

微软已解决这两个漏洞问题，用户应尽快予以更新。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17030

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17038

来源：freebuf.com 2020-11-11 11:41:23 by: 奇安信代码卫士