Chrome攻擊程式也涉及Windows零時差漏洞

Google甫於日前揭露了有一攻擊程式鎖定了Chrome的零時差攻擊漏洞，3月7日進一步說明該攻擊程式其實是同時開採了Chrome與Windows的零時差漏洞。

Google威脅分析團隊工程師Clement Lecigne說明，其實他們在2月27日便提報了兩個零時差漏洞，其中一個是現身於Chrome的CVE-2019-5786，Google已修補該漏洞並於3月1日更新了Chrome平台，另一個漏洞則存在於Windows平台，此一Windows漏洞藏匿在Windows win32k.sys的核心驅動程式，屬於本地權限擴張漏洞，可用來執行沙箱逃逸，但尚未被修補。

Lecigne指出，他們已將該漏洞提報給微軟，有鑑於它是個嚴重的Windows漏洞，而且已被開採以執行目標式攻擊，因而決定對外公布。

此一微軟正在修補的Windows漏洞可用來擴張權限，也能結合其它的瀏覽器漏洞以規避安全沙箱。

Google威脅分析團隊認為，該漏洞應該只有在Windows 7上才能被利用，因為其它較新的Windows版本皆具備緩解措施，且迄今只發現32位元的Windows 7遭到開採。建議Windows 7用戶可考慮升級到Windows 10，或是當微軟釋出修補程式時儘速更新。