谷歌披露了一个新的Windows零日漏洞，称其正受到积极攻击

该漏洞没有名称，但被标记为CVE-2020-17087，至少会影响Windows7和Windows10。

谷歌的零项目(Project Zero)是发现这一漏洞的精英安全漏洞猎人组织，该组织表示，该漏洞允许攻击者升级他们在Windows中的用户访问级别。攻击者正在利用Windows漏洞和Chrome中的另一个漏洞，谷歌上周披露并修复了这个漏洞。这一新漏洞允许攻击者逃离Chrome的沙盒(通常与其他应用程序隔离)，并在操作系统上运行恶意软件。

当TechCrunch联系到微软时，微软没有立即置评，但Project Zero的技术负责人Ben Hawkes在推文中表示，微软计划在11月10日发布补丁。

除了上周的Chrome/freetype 0day(CVE-2020-15999)之外，Project Zero还检测并报告了用于沙盒逃逸的Windows内核错误(CVE-2020-17087)。请点击此处查看CVE2020-17087的技术细节：https://t.co/bO451188Mk。

但目前还不清楚袭击者是谁，也不清楚他们的动机。谷歌威胁情报主管谢恩·亨特利(Shane Huntley)表示，这些攻击是“有针对性的”，与美国大选无关。

这是今年影响Windows的一系列主要漏洞中最新的一个。微软在1月份表示，美国国家安全局(National Security Agency)帮助发现了Windows 10中的一个密码漏洞，尽管没有证据表明有人利用了这一漏洞。但在6月和9月，国土安全部发布了关于两个“严重”Windows漏洞的警报-一个有能力在互联网上传播，另一个可能获得对整个Windows网络的完全访问权限。