กูเกิลเปิดเผยช่องโหว่ Windows แฮกเกอร์สามารถเข้าถึงสิทธิ์ระดับสูง หลังแจ้งไมโครซอฟท์ 10 วัน ยังไม่มีแพตช์
กูเกิลเปิดเผยช่องโหว่ของ Windows system call ในไฟล์ win32k.sys ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์เป็นสิทธิ์ระดับสูงเพื่อเจาะออกจาก sandbox ของวินโดวส์
ช่องโหว่นี้เป็นช่องโหว่ชุดเดียวกับที่ Adobe เพิ่งออกแพตช์ไปก่อนหน้านี้ โดยกูเกิลระบุว่าตรวจพบการโจมตีบ้างแล้ว และเนื่องจากช่องโหว่มีการโจมตีแล้ว กูเกิลใช้นโยบายที่ต่างไปจากการแจ้งช่องโหว่ปกติ โดยจะให้เวลาผู้ผลิตเพียง 7 วันหลังการแจ้งเตือน
ไมโครซอฟท์ได้รับแจ้งไปตั้งแต่วันที่ 21 ตุลามคมที่ผ่านมา และตอนนี้กูเกิลก็เปิดเผยช่องโหว่นี้แล้วหลังแจ้งไปยังไมโครซอฟท์ 10 วัน
สำหรับผู้ใช้ Chrome ทางทีม Chrome ล็อกการเรียก system call ในไฟล์ win32k.sys แล้วทำให้รอดจากช่องโหว่นี้ ส่วนผู้ใช้ซอฟต์แวร์อื่นคงต้องรอแพตช์จากไมโครซอฟท์ต่อไป
ที่มา - Google Security Blog
from Blognone https://www.blognone.com/node/86824
via IFTTT
