window10问题报告(win10问题报告设置在哪)

Win10问题报告严重安全漏洞影响权限升级并违反用户隐私设置

漏洞报告

受影响的平台：Windows10和WindowsServer2019

受影响的版本：Windows10版本1809和WindowsServer版本1903

影响：权限升级和侵犯用户隐私设置

严重级别：重要

今年1月，FortiGuardLabs报告了MicrosoftWindows10平台中与用户隐私相关的权限提升漏洞。6月9日，微软发布安全更新，修复了该漏洞。该漏洞的根本原因是Windows10平台上所有用户缺乏隐私设置隔离以及对内存中Windows诊断数据反馈处理不当。由于该漏洞严重影响用户隐私，建议微软尽快更新升级补丁。

CVE-2020-1296的漏洞方案及相关详情

权限从“基本”升级到“完全”的系统设置诊断数据级别漏洞场景

重现步骤：

1.在初始安装过程中，管理员用户选择“完整”设置，然后还将另一个标准用户添加到设备。

2.以标准用户身份登录系统，并保持“诊断数据”设置窗口打开。

3.然后，管理员用户将诊断数据设置更改为“基本”级别。

4.然后，标准用户将诊断数据设置更改为“完整”级别。

5.然后，标准用户对“完全”级别的更改也将反映到管理员用户。

阐明：

此处，管理员用户对“完全”隐私至“基本”隐私的更改不会反映给标准用户，从而允许标准用户对所有用户的诊断数据隐私设置进行未经授权的更改。

影响：

标准用户对设备上所有用户的诊断数据隐私设置进行未经授权的更改，从而降低了系统上所有用户的隐私性。

从“完全”权限升级到“基本”权限漏洞场景

重现步骤：

1.在初始安装过程中，管理员用户选择“完整”设置，然后将另一个标准用户添加到设备。

2.以标准用户登录系统，将“诊断数据”设置更改为“基本”。

3.标准用户对“基本”的更改也会反映到管理员用户。

阐明：

这是由于设备上的所有用户之间缺乏隐私设置隔离。这允许任何用户更改所有用户的隐私设置。

影响：

虽然这种未经授权的更改确实增强了设备上所有用户的隐私，但这样做是有代价的。将诊断数据设置设置为“基本”会减少Microsoft安全产品的功能。Microsoft的“完整”设置允许获取潜在滥用或恶意域上的假名浏览历史记录数据，并更新MicrosoftEdge和WindowsDefenderSmartScreen来警告用户此类有害网站。

这也可以归类为“安全绕过”漏洞，因为它拒绝向WindowsInsider用户提供新的安全/功能更新。WindowsInsiderChannel用户必须将诊断数据设置设置为“完整”才能接收任何新的安全/功能更新，并且对此设置的任何未经授权的更改都将拒绝该系统上的其他InsiderChannel更新。

CVE-2020-1296的总体影响

此问题的总体影响是影响系统上所有用户的隐私设置。由于权限升级漏洞而对隐私设置进行未经授权的更改可能会给用户带来错误的安全感，并且还可能拒绝对设备进行新的安全或功能更新。“BasictoFull”权限提升漏洞将有效降低系统上所有用户的隐私，而“FulltoBasic”权限提升漏洞可能会拒绝某些Microsoft产品提供的主动保护，并且还会导致拒绝WindowsInsider用户任何其他功能/安全更新。

修复和建议

用户应立即更新系统并应用微软的安全补丁。