Windows 系統被發現 ｢零日漏洞｣

【美博翻牆2020.11.10】Google的信息安全研究團隊 Project Zero 近日在官方部落格報告：近期發現存在於 Windows 作業系統的｢零日漏洞｣，受影響的系統版本包括Windows 7 至 Windows 10 v1903 等各版本。Project Zero 團隊將該漏洞編號命名為｢CVE-2020-17087｣。由於微軟官方已終止對Windows 7 系統的正式支持，若用戶先前已付費訂閱Windows 7 系統的擴展安全更新，才有可能獲得漏洞修復。

Google Project Zero於官方部落格稱，該零日漏洞存在於Windows 內核密碼驅動程式，駭客可獲得附加許可權發動遠端程式碼的惡意攻擊。

Project Zero 團隊小組在上周發現該漏洞後，就已隨即向微軟官方通報，然而微軟並未在限時七天時間內，向Windows 系統用戶釋出安全性修補。因此，Google 直至今天才把該漏洞的完整詳細內容公布在官方部落格上。Google並透露微軟計畫在11月10日發布最新的安全修補程序，但至今尚未獲得微軟官方的證實。

微軟官方已發出最新聲明回應表示，將會在最短時間內儘速釋出安全修補程序，以確保用戶儘可能地降低遭受漏洞威脅的風險與困擾。

小知識：零日漏洞

零日漏洞或零時差漏洞（英語：zero-day vulnerability、0-day vulnerability）通常是指還沒有補丁、被發現後立即被惡意利用的安全漏洞。即漏洞曝光的同一日內，相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。

零日攻擊或零時差攻擊（英語：zero-day exploit、zero-day attack）則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。零日漏洞的利用程序對資訊安全具有巨大威脅，因此零日漏洞不但是駭客的最愛，掌握多少零日漏洞也成為評價駭客技術水平的一個重要參數。