趋势科技的“零日活动”(ZDI)的安全研究人员披露了五个零日漏洞,攻击者可以利用这些漏洞来升级Windows计算机上的特权。

Windows Vulnerabilities Disclosed

在五个漏洞中,有四个漏洞被视为严重漏洞,它们的CVSS评分为7.0。

5个Windows零日漏洞

CVE-2020-0915,CVE-2020-0986,CVE-2020-0916

所有这三个缺陷是由于在将其解引用为指针之前,缺少对用户提供的值的正确验证。它存在于用户模式打印机驱动程序宿主进程splwow64.exe中。

这些漏洞使攻击者可以披露有关受影响的Microsoft Windows安装的信息。

要利用这些漏洞,攻击者应该能够在目标系统上执行低特权代码以利用此漏洞。

ZDI-CAN-10037

缺陷在于处理WLAN连接配置文件,攻击者可以创建恶意配置文件来泄露计算机帐户的凭据。

攻击者可以利用此漏洞来升级特权并在管理员的上下文中执行代码,请阅读ZeroDay建议。

CVE-2020-0915

该漏洞使本地攻击者可以披露有关受影响的Microsoft Windows安装的信息。

要利用此漏洞,攻击者应具有在目标系统上执行低特权代码以利用此漏洞的能力。

根据ZDI政策,这些漏洞没有补丁即可公开披露。