日前在国外社交网站推特上某位安全专家直接公开Windows 10系统尚未修复的凌日漏洞并且没有通知微软。
当然这并不是这位安全专家出现失误违反行业内通行的准则,从推文来看这位安全专家是意直接公开漏洞的。
通过这枚漏洞可以实现在没有或者管理员权限的情况下,任意软件都可以通过该漏洞获得系统级管理员权限。
该安全专家似乎是出于愤怒的原因:
推文中可以明显看出这名安全专家是直到这枚漏洞的严重性,他抱怨称再也不会将漏洞细节提交给微软公司。
至于原因则是认为Windows 10系统已经糟糕透顶,各种数不清的漏洞已经让这名安全专家感到无比的愤怒。
所以说这次公开未修复的零日漏洞也算是有意而为之的,直接公开漏洞细节自然是带有讽刺微软公司的意味。
CERT中心已经确认漏洞:
由于提供的漏洞细节非常丰富甚至还附带演示视频,所以漏洞被公开后立即有其他安全业者对漏洞进行验证。
验证后同时也将漏洞提交到美国计算机安全应急响应中心,虽暂时未获得CVE编号但CVSS指标平均在6.5分。
微软公司当前页尚未回应这次漏洞公开事件,不过对于微软来说当务之急是要立即制作补丁对漏洞进行修复。
