Windows 10被曝新零日漏洞 涉及3大版本

本週Windows 10再被曝出一個新的零日漏洞，該漏洞出現在Windows的資料共享服務(Data Sharing Service)中，提供應用程式之間的資料代理服務。目前該漏洞影響涉及Windows 10、Windows Server 2016和Windows Server 2019三大版本。

據悉，發現此漏洞的就是曾在今年8月曝過微軟零日漏洞的安全研究人員SandboxEscaper，其還在GitHub上公佈了概念性驗證攻擊程式。

SandboxEscaper表示，駭客可通過此漏洞挾持第三方軟體的DLL檔案，或是刪除系統服務所使用的快取檔案，也能將它們置換為惡意檔案。

在SandboxEscaper公佈漏洞及概念性驗證程式之後，網際網路應急中心(CERT)的漏洞分析師Will Dormann以及ACROS Security CEO Mitja Kolsek都確認了該漏洞的真實性，即能夠在最新的Windows 10平臺上執行。

據Kolsek表示，他已替SandboxEscaper向微軟安全迴應中心(Microsoft Security Response Center，MSRC)求證，證實此漏洞及概念性攻擊程式已經具備獲得微軟找漏洞獎勵的資格。

由此可以看出，該零日漏洞的危害性還是相當高的。不過現在更為期待的是，Win10快出相應的安全補丁吧。