谷歌披露了另一个主要的Windows 10错误

在披露了Microsoft未能解决的Edge浏览器漏洞之后，Google现在又披露了另一个错误，这次针对Windows 10 Fall Creators更新（版本1709），但也可能影响其他Windows版本。

James Forshaw是谷歌项目Zero项目的一名安全研究员，他说，由于操作系统处理调用高级本地过程调用(ALPC)的方式，提权特权漏洞可能会被利用。

这意味着标准用户可以在Windows 10计算机上获得管理员权限，所以在发生攻击时，攻击方能够对受影响系统进行完全控制。

但Neowin指出，这是在同一功能中发现的第二个错误，它们都被标记为1427和1428，并于2017年11月10日向微软报告。微软表示，他们将在2018年2月发布的更新版本中修正这一问题，但事实证明，只有1427号问题得到解决。

不能被远程利用

尽管漏洞仍然未被修补，需要注意的是微软并不认为这是一个很重要的关键缺陷。根据研究人员的说法，这是因为利用漏洞需要额外的步骤，并且不能远程进行，除非攻击者利用另一个缺陷获得对目标系统的访问。

“为了执行漏洞利用，你必须已经在正常的用户权限级别上运行系统上的代码。它不能被远程攻击，也无法从沙盒（如Edge和Chrome使用的沙箱）中使用。这个问题的标记为高严重性，反映了对于这类问题的易用性，它很容易被利用，但是它并没有考虑利用这个问题的先决条件。”Forshaw说。

下一次Windows安全更新将于3月13日作为即将到来的补丁周二的一部分发布，但由于此漏洞已公开，微软可能会尽快发布针对受影响的Windows版本的带外修补程序。