Google始于日前披露了有一攻击程序锁定了Chrome的零时差攻击漏洞,3月7日进一步说明该攻击程序其实是同时开采了Chrome与Windows的零时差漏洞。
Google威胁分析团队工程师Clement Lecigne说明,其实他们在2月27日便提报了两个零时差漏洞,其中一个是现身于Chrome的CVE-2019-5786,Google已修补该漏洞并于3月1日更新了Chrome平台,另一个漏洞则存在于Windows平台,该Windows漏洞藏匿在Windows win32k.sys的核心驱动程序,属于本地权限扩张漏洞,可用来执行沙箱逃逸,但尚未被修补。
Lecigne指出,他们已将该漏洞提报给微软,有鉴于它是个严重的Windows漏洞,而且已被开采以执行目标式攻击,因而决定对外公布。
该微软正在修补的Windows漏洞可用来扩张权限,也能结合其它的浏览器漏洞以规避安全沙箱。
Google威胁分析团队认为,该漏洞应该只有在Windows 7上才能被利用,因为其它较新的Windows版本皆具备缓解措施,且迄今只发现32进制的Windows 7遭到开采。建议Windows 7用户可考虑升级到Windows 10,或是当微软发布修补程序时尽快更新。