10月12日消息 據(jù)外媒報(bào)道，Microsoft Windows 10 Update Assistant(微軟Win 10更新助手)中的一個(gè)安全漏洞可使攻擊者執(zhí)行具有SYSTEM特權(quán)的代碼，CVE-2019-1378中記錄了這個(gè)權(quán)限提升漏洞。后期微軟解釋稱攻擊者最終可以創(chuàng)建具有完整用戶權(quán)限的帳戶并獲得訪問(wèn)權(quán)限以丟棄其他有效載荷并控制設(shè)備。

　　微軟表示：“Windows 10 Update Assistant以處理權(quán)限的方式存在一個(gè)特權(quán)提升漏洞。”“經(jīng)過(guò)本地身份驗(yàn)證的攻擊者可以以更高的系統(tǒng)特權(quán)運(yùn)行任意代碼。成功利用此漏洞進(jìn)入系統(tǒng)后，攻擊者可以安裝程序;查看，更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新帳戶。”

　　該漏洞最早由Jimmy Bayne發(fā)現(xiàn)并報(bào)告給Microsoft，無(wú)論用戶安裝了哪一版本的Windows 10，該漏洞都會(huì)存在于Windows 10 Update Assistant中。

　　有外媒指出，某些計(jì)算機(jī)在安裝KB4023814更新之后便會(huì)運(yùn)行Windows 10更新助手，不過(guò)此更新僅適用于運(yùn)行Windows 10版本1803(2018年4月更新)及更高版本的設(shè)備，并且專門用于準(zhǔn)備升級(jí)到Windows 10版本1903(2019年5月更新)。而如果用戶采用的是手動(dòng)安裝更新助手的方式，那么在運(yùn)行Windows 101903版系統(tǒng)的設(shè)備上運(yùn)行Windows 10 Update Assistant也容易遭受攻擊。

　　不過(guò)微軟官方已經(jīng)發(fā)布了新版本的Update Assistant來(lái)解決此漏洞，建議用戶盡快安裝它。用戶需要手動(dòng)安裝Win 10更新助手的最新版本或完全刪除它的所有文件。而微軟官方表示該漏洞是被秘密披露的，被利用的可能性較小，目前還沒(méi)有關(guān)于該漏洞被利用的報(bào)道。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。