导读网络安全研究人员针对Windows10中的一个错误发布了一个非官方补丁,该补丁最初于2020年10月向微软报告,后来的研究表明,该补丁也可能采用
网络安全研究人员针对Windows10中的一个错误发布了一个非官方补丁,该补丁最初于2020年10月向微软报告,后来的研究表明,该补丁也可能采用本地特权漏洞的形式。
在发布免费的微补丁时,0patch微补丁服务的联合创始人MitjaKolsek解释说,它最初也忽略了这个漏洞,因为它被披露为一个信息披露错误,通常情况下,这不足以引起0patch的关注。
该漏洞编号为CVE-2021-24084,是由安全研究员AbdelhamidNaceri发现的,他于2021年6月发表了有关该漏洞的博客,详细介绍了其工作原理,并指出微软尚未修复该漏洞。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
一个升级的错误
Kolsek利用一个固定的Windows权限提升漏洞,跟踪为CVE2021-36934,表明在某些特定条件下,可以升级和滥用任意文件披露来进行本地权限提升。
“在十一月,然而,哈米德指出,这-仍然没有打补丁-错误的可能不只是一个信息泄露问题,但本地权限提升漏洞...。我们利用中描述的步骤证实了这一点由拉吉Chandel这篇博客结合与Abdelhamid的错误-并且能够以本地管理员身份运行代码,“Kolsek写道,解释了修补错误的必要性。
非官方微补丁将适用于所有受影响的Windows10版本,并且像往常一样,将免费提供,直到微软针对该问题发布官方修复程序。