กูเกิลเปิดเผยช่องโหว่วินโดวส์ หลังให้เวลาไมโครซอฟท์เพียง 7 วันหลังแจ้งเพราะพบช่องโหว่ถูกใช้โจมตีแล้ว |
| กูเกิลเปิดเผยช่องโหว่วินโดวส์ หลังให้เวลาไมโครซอฟท์เพียง 7 วันหลังแจ้งเพราะพบช่องโหว่ถูกใช้โจมตีแล้ว Posted: 31 Oct 2020 07:55 AM PDT Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ กูเกิลคาดว่าไมโครซอฟท์จะปล่อยแพตช์ช่องโหว่นี้พร้อมกับแพตช์ประจำเดือนในวันที่ 10 พฤศจิกายนที่จะถึงนี้ ทางด้านไมโครซอฟท์ระบุกับ The Register ว่าบริษัทพยายามออกแพตช์ให้ทันเส้นตายเสมอ แต่ทั้งนี้ก็ต้องให้ความสมดุลกับคุณภาพของแพตช์ไปพร้อมกันด้วย และกรณีนี้ช่องโหว่ก็เป็นช่องโหว่ที่คนร้ายต้องส่งโค้ดมารันบนเครื่องเหยื่อเสียก่อน และก่อนหน้านี้ที่มีการโจมตีก็เป็นการอาศัยช่องโหว่ CVE-2020-15999 ของเบราว์เซอร์ในกลุ่ม Chromium ที่ออกแพตช์ไปแล้วก่อนหน้านี้ ที่มา - The Register, Project Zero
ตัวอย่างโค้ดโจมตีช่องโหว่ใหม่ในวินโดวส์ของ Project Zero |
| You are subscribed to email updates from Blognone - Windows. To stop receiving these emails, you may unsubscribe now. | Email delivery powered by Google |
| Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States | |
ไม่มีความคิดเห็น:
แสดงความคิดเห็น