信息來(lái)源:Cnbeta
作為8月11日補(bǔ)丁周二的一部分����,一個(gè)0day級(jí)別的漏洞被修復(fù)����,它影響到Windows 7����、Windows 8.1����、Windows 10和幾個(gè)Windows Server版本����,微軟還承認(rèn)已經(jīng)留意到利用此漏洞發(fā)生的攻擊已經(jīng)出現(xiàn)。這是操作系統(tǒng)中的一個(gè)欺騙漏洞����,詳情記錄在CVE-2020-1464中,后果是黑客最終可以通過(guò)成功利用它來(lái)加載不當(dāng)簽名的文件����。
"存在一個(gè)欺騙漏洞可以令Windows錯(cuò)誤地驗(yàn)證文件簽名。成功利用該漏洞的攻擊者可以繞過(guò)安全功能����,加載不正當(dāng)簽名的文件。在攻擊場(chǎng)景中����,攻擊者可以繞過(guò)旨在防止加載不當(dāng)簽名文件的安全功能。"微軟表示����,看起來(lái)這個(gè)缺陷從2018年起就存在����。
KrebsOnSercurity透露����,該欺騙漏洞最早是由VirusTotal的經(jīng)理Bernardo Quintero向微軟報(bào)告的,公司隨后向他證實(shí)了這一發(fā)現(xiàn)����。但是,"微軟已經(jīng)決定不會(huì)在當(dāng)前版本的Windows中修復(fù)這個(gè)問(wèn)題����,并同意我們能夠在博客上公開(kāi)報(bào)道這個(gè)案例和我們的發(fā)現(xiàn)。"在引用源強(qiáng)調(diào)的一篇博客文章中如此描述����。
安全研究員、KZen Networks的創(chuàng)始人Tal Be'ery也指出����,有證據(jù)表明該缺陷在2018年夏天就被發(fā)現(xiàn)了,不知為何微軟當(dāng)時(shí)就決定不打補(bǔ)丁����。
微軟則回避了關(guān)于為什么要等到現(xiàn)在才打補(bǔ)丁的問(wèn)題。但更糟糕的是����,微軟在2018年不發(fā)布修復(fù)程序,等到2020年8月才解決操作系統(tǒng)缺陷����,這意味著本身就暴露在攻擊之下的Windows 7設(shè)備不再獲得補(bǔ)丁,因?yàn)槠浞歉顿M(fèi)性質(zhì)的支持早在2020年1月就結(jié)束了����。
