谷歌刚刚发现了一个未修补的windows漏洞

谷歌已经披露了Windows中的一个0天漏洞,该漏洞目前未被修补,并在野外被积极利用。毫无疑问,微软对这种情况并不太满意。...

谷歌已经披露了Windows中的一个零日漏洞,该漏洞目前尚未修补,并在野外被积极利用。可以说微软对这种情况并不太满意,声称谷歌的行为“给客户带来了潜在的风险”。

facepalm-combo

10月初的某个时候,谷歌发现Windows和Flash都存在严重漏洞。10月21日,谷歌将两款产品的关键安全问题告知了微软和Adobe。10月26日,Adobe更新了Flash来解决这个问题。但是微软仍然没有解决隐藏在Windows内核中的问题。

尽管如此,谷歌还是在10月31日发布在谷歌安全博客上的一篇文章中披露了这些漏洞的详细信息。这符合公司的政策,即在通知供应商受影响的产品七天后公开披露这些问题的存在。

微软对谷歌不满

Google对Windows漏洞的描述如下:

"The Windows vulnerability is a local privilege escalation in the Windows kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability."

这可能会为黑客提供足够的信息,让他们知道如何利用该漏洞为自己谋利。这显然让微软感到不安,它告诉VentureBeat:

"We believe in coordinated vulnerability disclosure, and today’s disclosure by Google puts customers at potential risk. Windows is the only platform with a customer commitment to investigate reported security issues and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection."

这对所有相关人员都不好

Adobe能够快速修补该漏洞,但修补Flash比修补Windows容易得多。因此,微软可能有一个有效的论点,即如此迅速的公开披露对所有相关人员都不利。这与试图利用安全漏洞的罪犯不同。

需要注意的是,Flash漏洞是利用Windows漏洞所必需的。至少以目前的形式。所以,只要你确定你有最新版本的adobeflash,你应该暂时不会受到伤害。然而,微软仍然需要尽快修补Windows漏洞。

谷歌这么快就披露了这个漏洞,这是对的吗?微软是否有一个合理的论据,七天的时间不足以解决这些问题?你检查过adobeflash是最新的吗?请在下面的评论中告诉我们!

图片来源:PirátskáStrana via Flickr

  • 发表于 2021-03-17 02:01
  • 阅读 ( 131 )
  • 分类:互联网

你可能感兴趣的文章

如何保护windows免受崩溃和幽灵般的安全威胁

... 你也应该更新你的浏览器。谷歌已经修补了Chrome64的崩溃,Mozilla更新了Firefox57版(Quantum)。微软甚至修补了Edge的最新版本。如果您使用的是非主流应用程序,请咨询您的浏览器开发人员。 ...

  • 发布于 2021-03-11 17:49
  • 阅读 ( 284 )

新的漏洞说明了更多的windows10缺陷

... 另一方面,谷歌Chrome是不可破解的。 ...

  • 发布于 2021-03-15 03:26
  • 阅读 ( 253 )

幽灵和熔毁仍然是一种威胁吗?你需要的补丁

...航跨界车。幽灵下一代是幽灵的第二代漏洞。第二代是由谷歌的“零计划”(projectzero)发现的(他还发现了第一代)。 ...

  • 发布于 2021-03-21 13:46
  • 阅读 ( 248 )

微软在2021年1月修补了zero day漏洞

...洞搜索实验室)和Zero day Iniative于2020年9月在CVE-2020-0986下发现。 ...

  • 发布于 2021-03-28 06:03
  • 阅读 ( 184 )

Windows7今天死掉了:下面是你需要知道的

...再支持WindowsXP。Windows7最终也会遭遇同样的命运。目前,谷歌表示,至少到2021年7月15日,它将继续在Windows7上支持Chrome。 我能得到安全补丁吗? Windows7的支持还没有完全结束。微软仍将为其提供“扩展安全更新”,但仅限于企...

  • 发布于 2021-04-02 18:40
  • 阅读 ( 387 )

每日新闻综述:windows漏洞有三种

...er表示,将在2019年6月25日之后关闭他们的在线商店。[9到5谷歌] Panic’s upcoming PlayDate handheld is super cute: Coming from the creators of great Mac software like Coda and Prompt, and indie game creators behind Katamari, is an adorable little handheld with a crank. Look at t...

  • 发布于 2021-04-03 13:21
  • 阅读 ( 145 )

每日新闻综述:ipad迷你评论、at&t首席执行官获得robocall等等

...的光盘时,你撬开他们从我们冰冷,死手,我的想法。 谷歌和安卓新闻 网络上的Google地图变得越来越漂亮,有一个Android漏洞五年没有修补,googlepodcast也得到了一些喜爱。 网络上的谷歌地图(Google Maps)一段时间以来看起来都...

  • 发布于 2021-04-03 18:22
  • 阅读 ( 141 )

什么是“零日”攻击,如何保护自己?

...管Chrome的沙盒技术已经没有使用时间了,但那些试图破坏谷歌Chrome沙盒技术的漏洞已经非常罕见了。 负责任的披露 有时候,好人会发现漏洞。要么是开发者自己发现漏洞,要么是“白帽”黑客发现漏洞并负责任地披露,或许可...

  • 发布于 2021-04-09 03:20
  • 阅读 ( 147 )

为什么iphone比android手机更安全

...备都可以通过MMS信息泄露,而这只是最引人注目的漏洞。谷歌没有办法在这些设备上应用安全补丁,**商和运营商根本不在乎。 Android生态系统正在成为一个充满安全漏洞的未修补设备的有毒地狱。相比之下,当苹果iOS出现安全...

  • 发布于 2021-04-10 08:24
  • 阅读 ( 225 )

chrome 88更新包括针对零天漏洞的重要安全修复

更新到Chrome的最新版本比平常更重要。谷歌周四发布的88.0.4324.150版浏览器修复了一个漏洞,谷歌称该漏洞正被广泛利用。这个更新现在正在Windows、Mac和Linux上推广。 谷歌并没有提供有关CVE-2021-21148漏洞的具体细节,...

  • 发布于 2021-04-16 08:15
  • 阅读 ( 150 )
sgmfv395173
sgmfv395173

0 篇文章

相关推荐