奇安信代码安全实验室研究员为微软发现两个漏洞(CVE-2020-17038和CVE-2020-17030),其中CVE-2020-17038为“高危”级别。研究员第一时间向微软报告并协助其修复漏洞。
北京时间2020年11月11日,微软发布了补丁更新公告以及致谢公告,公开致谢奇安信代码安全实验室研究人员。
图:微软官方致谢
漏洞简述
CVE-2020-17038 – Win32k 提权漏洞
低权限的本地攻击者在无需用户交互的情况下,即可触发该漏洞,提升攻击者的权限。微软对该漏洞的可利用性评估是“较有可能被利用”,即更可能被攻击者利用,相关用户应该将其设为较高优先级。
CVE-2020-17030 — Windows MSCTF Server信息泄漏漏洞
低权限的本地攻击者在无需用户交互的情况下,即可引发信息泄漏,使攻击者获得进一步攻陷受影响系统的信息。
微软已解决这两个漏洞问题,用户应尽快予以更新。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17030
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17038
来源:freebuf.com 2020-11-11 11:41:23 by: 奇安信代码卫士
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册