黑客再次公布微软Windows 10三枚未修复的零日漏洞

　　早些时候经常公布Windows 10零日漏洞的黑客Sandbox Escaper直接公开任务计划程序中的某个安全漏洞，不过与微软关系非常僵的这位黑客还表示将会发布更多漏洞，比如现在又有三枚未经修复的零日漏洞被公布，这些零日漏洞多数依然是Windows 10本地权限提升错误，不过这次还有个针对IE11浏览器的沙箱逃逸漏洞。

　　死磕微软甚至还与FBI杠上：

　　鉴于这名黑客此前多次未经微软同意公布零日漏洞细节，目前有传闻美国联邦调查局已经开始着手调查此事，传美国联邦调查局已经联系谷歌要求谷歌提供她的账号信息，至于要账号信息拿来干什么估计大家也能猜到，不过尚不清楚是微软联系该调查局寻求帮助还是调查局主动介入的，但不论如何也不能阻止她继续公开漏洞，在这次公布漏洞中她还表示在市场上向「讨厌美国的人」出售漏洞，显然是对美国联邦调查局介入作出回应。

　　漏洞方面的细节：

　　Sandbox Escaper公布的零日漏洞基本都已经被安全业界确认，部分漏洞的CVSS 3.0 严重性评分高达7.8分，IE11的零日漏洞主要可以让攻击者将.DLL动态链接库注入到浏览器中，最终可以用来从IE的沙盒模式中逃逸，权限提升则是 Windows AppX 部署服务中不正确地处理硬编码链接导致的，利用该漏洞可以提高本地权限，最后还有Windows 10系统更新服务的安装程序绕过问题，利用这个问题可以与其他恶意软件触发回滚操作。