win10问题报告严重安全漏洞 影响特权升级和违反用户隐私设置
漏洞报告
受影响的平台:Windows 10和Windows Server 2019
受影响的版本:Windows 10版本1809 +和Windows Server版本1903 +
影响:特权升级和违反用户隐私设置
严重性级别:重要
今年1月,FortiGuard实验室报告了与Microsoft Windows 10平台中的用户隐私相关的特权升级漏洞(代号CVE-2020-1296)。6月9日,Microsoft发布了安全更新,此漏洞才得以修复。此漏洞的根本原因是缺乏隐私设置隔离以及Windows 10平台上所有用户在内存中对Windows诊断数据反馈的不正确处理。由于此漏洞严重影响用户隐私,建议尽快更新Microsoft升级补丁。
CVE-2020-1296的漏洞方案和相关详细信息
系统设置诊断数据级别从基本到完全特权升级的漏洞情形
重现步骤:
1。在初始安装过程中,管理员用户选择完全设置,然后还将另一个标准用户添加到设备。
2。标准用户登录系统,并保持诊断数据设置窗口打开。
3。然后,管理员用户将诊断数据设置更改为基本级别。
4。然后,标准用户将诊断数据设置更改为完全级别。
5。然后,标准用户对完全级别的更改也会反映给管理员用户。
说明:
这里管理员用户将完全更改为基本隐私没有反映给标准用户,从而允许标准用户对所有用户的诊断数据隐私设置进行未经授权的更改用户(包括管理员)。
影响:
标准用户对设备上所有用户(包括管理员)进行的诊断数据隐私设置的未经授权的更改,降低了系统上所有用户的隐私。
从完全升级为基本特权漏洞情形
重现步骤:
1。在初始安装期间,管理员用户选择完全设置,然后将另一个标准用户添加到设备。
2。标准用户登录系统,并将诊断数据设置更改为基本。
3。标准用户对基本的更改也反映给管理员用户。
说明:
这是由于设备上所有用户之间缺乏隐私设置隔离。这允许任何用户更改所有用户(包括管理员)的隐私设置。
影响:
尽管此未经授权的更改确实增强了设备上所有用户的隐私,但这样做是有代价的。将诊断数据设置设置为基本会降低Microsoft安全产品(如Microsoft Edge和Windows Defender SmartScreen)的功能。Microsoft的完整设置允许获取有关潜在滥用或恶意域的假名浏览历史记录数据,以对Microsoft Edge和Windows Defender SmartScreen进行更新,以警告用户有关此类有害网站的信息。
也可以将其归类为安全绕过漏洞,因为它拒绝向Windows Insider用户提供新的安全/功能更新。Windows Insider Channel用户必须将诊断数据设置设置为完全才能接收任何新的安全/功能更新,对此设置的任何未经授权的更改都将拒绝该系统上的其他Insider Channel更新。
CVE-2020-1296的总体影响
此问题的总体影响是,它会影响系统上所有用户的隐私设置。由于特权升级漏洞而导致未经授权的隐私设置更改可能给用户带来错误的安全感,并且还可能拒绝设备的新安全性或功能更新。从基本到完全特权升级漏洞将有效降低系统上所有用户的隐私,而从完全到基本特权升级漏洞可能会拒绝某些Microsoft产品(例如Windows Defender SmartScreen)提供的主动保护 ,并且还会拒绝Windows Insider用户的任何其他功能/安全更新。
修复与建议
用户应立即更新其系统并应用Microsoft的安全补丁。
原标题:Windows 10 爆出严重漏洞:可导致特权升级和用户隐私泄露,6月9日安全更新后可修复