时间:2021-11-27 08:59:14 来源:系统堂 游览量: 次
微软的低赏金支出使安全研究人员公开披露 Windows 11、10 和服务器上的新漏洞。
• 安全研究人员公开披露 Windows 11 上的漏洞。
• 披露的原因是由于对漏洞赏金计划的低支出感到沮丧。
• 该漏洞已被微软修复,但研究人员找到了一个更严重的安全整体的解决方法。
安全研究人员 Abdelhamid Naceri 公开披露了一个漏洞,该漏洞为Windows 11、10和 Windows Server上的攻击者提供系统权限,以从标准权限级别运行提升的命令。
尽管微软在 2021 年 11 月的更新 ( CVE-2021-41379 ) 中修复了这个问题,但安全研究人员在找到解决方法后披露了该漏洞,因为微软的漏洞赏金计划令人沮丧,该漏洞更严重的未修补漏洞。该程序允许安全研究人员和几乎任何人通过查找和报告操作系统中的错误来赚钱。
“这个变种是在分析 CVE-2021-41379 补丁时发现的。该错误未正确修复。然而,而不是放弃旁路。我实际上选择放弃这个变体,因为它比原来的更强大。” Naceri 还在他在 GitHub 页面上的文章中指出,此人正在展示新的零日漏洞的有效概念验证。
BleepingComputer是首先报告此案例的站点,它在 Windows 11 机器上成功测试了该漏洞,并通过 Windows 更新提供了最新补丁。'
虽然目前尚不清楚为什么 Microsoft 为赏金支付的费用较少,但它可能不得不这样做,因为近年来我们在功能更新和累积更新期间看到了越来越多的错误。因此,公司发现既定预算无法涵盖的报告有所增加。或者,这家软件巨头可能希望减少尝试闯入 Windows 的人数。