内容简介:她披露的0day漏洞如下:
5月23日, 安全研究员兼利用开发人员 SandboxEscaper 发布了 CVE-2019-0841 的首个绕过,同时发布了 IE 11中出现的沙箱逃逸漏洞。这是 她在5月份已发布的第3个0day。 也是自2018年8月以来她发布的第9个 0day 。
她披露的0day漏洞如下:
-
A LPC 中的 LPE 漏洞
-
微软数据共享 ( dssvc.dll ) 中的 LPE
-
ReadFile 中的 LPE
-
Windows 错误报告 ( WER ) 系统中的 LPE
-
Windows Task Scheduler 进程中的 LPE
-
IE 11 的沙箱逃逸
-
Windows 错误报告服务中的 LPE,从技术角度而言它并非 0day 。在 SandEscaper 发布演示利用代码之前,微软已经修复了该问题。
-
绕过 CVE-2019-0841的 保护措施
-
Windows Installer 文件夹的 LPE
承诺再放出1个0day
由于连续公布Windows的零日漏洞, SandboxEscaper 的 Twitter 帐号在去年12月底就被停更,迄今尚未恢复。但 SandboxEscaper 依然通过博客与 GitHub 继续公布其研究成果,并放出攻击展示视频进行佐证。
SandboxEscaper 在博客中表示:
翻译如下:这是 CVE-2019-0841 的第二个绕过。我永远不会成为信息安全行业的一员,人们已经在很久之前就以不同的方式告诉我了。我只是一个无害的疯狂之人,现在在分享着无害的 LPE。随便吧,拜拜!
PS:我手里还有一个0day。
6月8日, SandboxEscaper 又公开了 Windows 的一个 0day 详情和 PoC ,可导致普通用户的权限提升为管理员权限。攻击者可借此安装程序,查看、改变或删除数据。
这个 0day 漏洞绕过了微软在4月份修复的 CVE-2019-0841。CVE-2019-0841 可在普通用户的上下文中进行利用,以获取受保护文件的完全控制权,即获得管理员权限和系统权限。
微软修复漏洞
过去几个月,微软一直深受“沙箱逃逸”( SandboxEscaper )零日漏洞的困扰。因为这位漂亮的女黑客不按常理出牌,不仅没有给出 90 天的预备披露时间,还接二连三地抛出了针对 Windows 操作系统的特权提升漏洞。
万幸的是,尽管准备工作有点仓促,该公司还是设法修复了已流出概念验证代码的五个漏洞中的四个,且目前尚无被人在野外利用的报道。
据悉,已修补的这四个 SandboxEscaper 漏洞分别为:
-
CVE-2019-1069 | 任务计划程序的特权提升漏洞
-
CVE-2019-1053 | Windows Shell 的特权提升漏洞
-
CVE-2019-1064 | Windows 特权提升漏洞
-
CVE-2019-0973 | Windows Installer 特权提升漏洞
鉴于漏洞的普遍严重程度,还请诸位及时安装每月发布的安全更新。
来源:代码卫士、Cnbeta
:warning: 注意
2019 看雪安全开发者峰会门票正在热售中!
长按识别下方 二维码 , 即可享受 2.5折 优惠!
往期热门回顾
﹀
﹀
﹀
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
点击阅读原文,了解更多!
以上所述就是小编给大家介绍的《美女黑客疯狂披露 Windows 0day,微软忙修复!》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 黑客披露了未修复的Windows 0-day漏洞
- SandboxEscaper第五次披露3个未修复的Windows 0day
- SandboxEscaper第六次披露2个未修复的Windows 0day
- 女黑客SandboxEscaper第三次在Twitter披露未修复的Windows 0day
- 最重要的漏洞披露渠道:社交媒体
- 看看英国GCHQ的漏洞披露策略
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Out of their Minds
Dennis Shasha、Cathy Lazere / Springer / 1998-07-02 / USD 16.00
This best-selling book is now available in an inexpensive softcover format. Imagine living during the Renaissance and being able to interview that eras greatest scientists about their inspirations, di......一起来看看 《Out of their Minds》 这本书的介绍吧!