Chrome攻击程式也涉及Windows零时差漏洞

Google甫于日前揭露了有一攻击程式锁定了Chrome的零时差攻击漏洞，3月7日进一步说明该攻击程式其实是同时开采了Chrome与Windows的零时差漏洞。

Google威胁分析团队工程师Clement Lecigne说明，其实他们在2月27日便提报了两个零时差漏洞，其中一个是现身于Chrome的CVE-2019-5786，Google已修补该漏洞并于3月1日更新了Chrome平台，另一个漏洞则存在于Windows平台，此一Windows漏洞藏匿在Windows win32k.sys的核心驱动程式，属于本地权限扩张漏洞，可用来执行沙箱逃逸，但尚未被修补。

Lecigne指出，他们已将该漏洞提报给微软，有鉴于它是个严重的Windows漏洞，而且已被开采以执行目标式攻击，因而决定对外公布。

此一微软正在修补的Windows漏洞可用来扩张权限，也能结合其它的浏览器漏洞以规避安全沙箱。

Google威胁分析团队认为，该漏洞应该只有在Windows 7上才能被利用，因为其它较新的Windows版本皆具备缓解措施，且迄今只发现32位元的Windows 7遭到开采。建议Windows 7用户可考虑升级到Windows 10，或是当微软释出修补程式时尽速更新。