ITPub博客

首页 > IT职业 > IT生活 > Windows 10任务调度器曝出新零日漏洞

Windows 10任务调度器曝出新零日漏洞

IT生活 作者:安全剑客 时间:2019-06-11 09:17:42 0 删除 编辑

Windows 10任务调度器曝出新零日漏洞Windows 10任务调度器曝出新零日漏洞
新浪科技讯,北京时间 5 月 23 日早间消息,据美国科技媒体 BleepingComputer 报道,在微软每月安全更新周期刚刚过去一周后,漏洞开发者 SandboxEscaper 悄悄发布了 Windows 系统一个新的零日漏洞。

这个漏洞是自去年 8 月底以来的第五个漏洞,能实现本地的权限提升,让受限用户获得对文件的全部权限,进行各种操作。而原本只有获得完整权限的用户,例如 SYSTEM 用户才能这样做。

SandboxEscaper 再次利用了 Windows 10 的任务调度器工具,使用该工具从其他系统中导入遗留任务。在 Windows XP 时代,任务以 .JOB 格式存在,而这些任务仍然可以被加入到更新版本的操作系统。

用任务调度器导入带任意 DACL(全权访问控制列表)控制权限的 JOB 文件,就可以利用这个漏洞。在缺少 DACL 的情况下,系统仍然会给予所有用户对文件的全部权限。(李丽)


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31559985/viewspace-2647249/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-11-01

  • 博文量
    445
  • 访问量
    305112