大型科技企业大多都会提供漏洞赏金,鼓励黑客帮忙找出漏洞,提升产品安全。不过先前Microsoft就大幅下调赏金,令黑客不满,在GitHub上直接公布漏洞。
最近在GitHub上出现了一个Windows 11漏洞的使用方法,在几日之内已经有超过1,300星。这个CVE-2021-41379漏洞在11月初虽然已经修补过,但仍然未能完全修复,透露漏洞的安全研究人员Abdelhamid Naceri表示,他因为不满Microsoft一直下调赏金,因此在GitHub公诸于世。
这个零时差漏洞在Microsoft的标准中只是列为重要,并不是最高风险。不过利用漏洞,仍然可以快速将用户的权限提升到系统权限,因此仍然有一定危险,Microsoft方面仍然没有进一步修补。
来源:Bleeping Computer