win7升级助手中的安全漏洞为黑客打开大门

据外媒softpedia报道，微软win 7升级助手（update Assistant） 中的一个安全漏洞使攻击者可以执行具有sYsTEM权限的代码。CVE-2019-1378中记录了这个权限提升漏洞。微软解释说，攻击者最终可以创建具有完全用户权限的帐户，最终获得访问权限以丢弃其他有效负载并控制设备。

微软表示：“win 10 升级助手以解决权限的方式存在一个权限提升漏洞。经过本地身份验证的攻击者可以以更高的系统权限运行任意代码。成功利用此漏洞后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。”

该漏洞由Jimmy Bayne发现并报告给微软，无论安装了哪个版本的win 7，该漏洞都存在于win 7 升级助手中。

外媒指出，某些计算机在安装KB4023814升级之后最终会运行win 7升级助手。但是，此升级仅适用于运行win 7版本1803（2018年4月升级）及更高版本的设备，并且专门用于准备更新到win 7版本1903（2019年5月升级）。

另一方面，如果手动安装了升级工具，则在win 7版本1903上运行win 7升级助手的设备也简单受到攻击。

微软已经发布了新版本的升级助手来处理此漏洞，建议用户尽快安装它。修复此漏洞的唯一办法是手动安装此新版本，至少要将此安装到通过win update自动发送到设备的新升级中。完全删除win 7升级助手显然也可以阻止攻击。

微软表示，该漏洞是秘密披露的，被利用的可能性较小，目前还没有相关该漏洞被攻击者利用的报道。