第175期安全事件

英文標題	Google discloses Windows zero-day actively exploited in targeted attacks
中文標題	谷歌披露的 Windows 漏洞被用于針對性攻擊
作者及單位	Pierluigi Paganini
內容概述	谷歌本周披露了一個 Windows 零日漏洞，該漏洞被利用進行針對性攻擊，這些攻擊還利用了最近修補的 Chrome 漏洞（ CVE-2019-5786）。Windows 零日漏洞是 win32k.sys 內核驅動程序中的本地權限提升問題，攻擊者可以利用該漏洞逃避安全 沙箱檢查。專家認為，由于最新版本的 Microsoft OS 中添加了最近的漏洞利用緩解措施，Windows 零日可能僅在 Windows 7 上被利用。迄今為止，專家們僅觀察到對 Windows 7 32 位系統的攻擊。目前還未發布補丁，緩解該漏洞的唯一方法是將系 統升級到 Windows 10。
新聞鏈接	https://securityaffairs.co/wordpress/82159/breaking-news/windows-zero-day-3.html