微软赏金太抠门：安全研究人员怒而曝光Windows提权零日漏洞

蓝天二号

安全研究人员 @MalwareTechBlog 在推特上吐槽道：由于微软调整了漏洞赏金计划，其原本想提交的一个影响所有受支持 Windows 操作系统版本的提权漏洞的“认定价值”，也从 10000 美元瞬间跌到了 1000 美元。Abdelhamid Naceri 在接受 Bleeping Computer 采访时称，大家对微软的新漏洞赏金政策感到十分沮丧。

据悉，自 2020 年 4 月以来，微软的漏洞赏金计划就已经变得“一文不值”。如果这家软件巨头没有下调赏金价值，以 Abdelhamid Naceri 为代表的安全研究人员，也不会怒而曝光零日漏洞。

其他安全研究人员附和道：Naceri 披露的漏洞，很容易让普通用户提取并获得 SYSTEM 系统权限。更让人感到震惊的是，该漏洞利用是基于微软的补丁而开发的。

具体说来是，Naceri 在分析 CVE-2021-41379 补丁时发现了这个漏洞。然而微软并未正确修复相关错误、或选择另一条技术路线，结果导致变种漏洞的危害性比之前更强。

Naceri 在文章中解释称，“安装器文件接管”（InstallerFileTakeOver）漏洞影响 Windows 10、Windows 11 和 Windows Server 等多个仍受支持的操作系统版本。

虽然漏洞本身“并不完整”，但别有用心的攻击者还是可以结合其它漏洞利用路径，来实现对计算机网络的完全接管。

遗憾的是，截止 Bleeping Computer 发稿时，微软官方都没有就此事给出任何回应。

Hades-001

阿三入主的微软是真的不太行了。。。

dg1vg4

Hades-001 发表于 2021-11-23 18:39
阿三入主的微软是真的不太行了。。。

也不能这么说，纳拉德入主，使得微软一方面变得更灵活，另一方面服务品质变差了。

ruancm

没洞洞怎么搜集各种隐私啊

cnseatech

MS这么小气啊

zyo

ms还小气

安全强迫症

ruancm 发表于 2021-11-23 19:58
没洞洞怎么搜集各种隐私啊

直接光明正大，那堆隐私协议不是白签的。