headless 曰く、

Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された(The Registerの記事、 VU#906424、 Softpediaの記事、 BetaNewsの記事)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。

CVSSスコアは6.4(Environmental)～6.8(Base)で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。

MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。