Tags:
Node Thumbnail

Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง

กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ

กูเกิลคาดว่าไมโครซอฟท์จะปล่อยแพตช์ช่องโหว่นี้พร้อมกับแพตช์ประจำเดือนในวันที่ 10 พฤศจิกายนที่จะถึงนี้ ทางด้านไมโครซอฟท์ระบุกับ The Register ว่าบริษัทพยายามออกแพตช์ให้ทันเส้นตายเสมอ แต่ทั้งนี้ก็ต้องให้ความสมดุลกับคุณภาพของแพตช์ไปพร้อมกันด้วย และกรณีนี้ช่องโหว่ก็เป็นช่องโหว่ที่คนร้ายต้องส่งโค้ดมารันบนเครื่องเหยื่อเสียก่อน และก่อนหน้านี้ที่มีการโจมตีก็เป็นการอาศัยช่องโหว่ CVE-2020-15999 ของเบราว์เซอร์ในกลุ่ม Chromium ที่ออกแพตช์ไปแล้วก่อนหน้านี้

ที่มา - The Register, Project Zero

No Description

ตัวอย่างโค้ดโจมตีช่องโหว่ใหม่ในวินโดวส์ของ Project Zero

Get latest news from Blognone

Comments

By: Mediumrare
AndroidWindows
on 31 October 2020 - 22:34 #1183272

ที่มียกระดับสิทธิ์ > ?

By: LazarusSP1
ContributoriPhone
on 1 November 2020 - 08:35 #1183295

มี PoC ก่อน Patch เลยนะเนี่ย

By: PriteHome
ContributorAndroidWindows
on 1 November 2020 - 12:34 #1183320 Reply to:1183295
PriteHome's picture

กำลังคิดว่า บางกรณี Project Zero ก็ทำตัวไม่ค่อยเหมาะสมนะ

By: zyzzyva
Blackberry
on 1 November 2020 - 09:26 #1183299

ช่องโหว่นี้หรือเปล่าที่ทำให้เว็บวงในถูกโจมตี

By: devilblaze
iPhoneAndroidWindows
on 1 November 2020 - 14:56 #1183337
devilblaze's picture

พอเป็นช่องโหว่ของ ms ไม่มีผ่อนผัน แต่ถ้าช่องโหว่ของ apple นี่คุยกันได้เสมอ

By: threeyemen
AndroidWindows
on 1 November 2020 - 15:13 #1183339

หัวข้อข่าวชัดเจนอยู่นะครับ

"กูเกิลเปิดเผยช่องโหว่วินโดวส์ หลังให้เวลาไมโครซอฟท์เพียง 7 วันหลังแจ้งเพราะพบช่องโหว่ถูกใช้โจมตีแล้ว"

By: thornza007
AndroidUbuntuWindows
on 1 November 2020 - 22:32 #1183360 Reply to:1183339
thornza007's picture

+1

ถึงจะไม่รู้ว่ามันคืออะไร แต่ถ้ามันถูกใช้โจมตีแล้วก็เปิดเผยมาเถอะ
จะได้ปรึกษาแล้วแก้ปัญหาได้

By: 100dej
AndroidWindows
on 4 November 2020 - 11:39 #1183856

ช่องโหว่แบบ Combo ที่โดนสะกัด Combo ไปแล้ว?