谷歌已經披露了Windows中的一個零日漏洞,該漏洞目前尚未修補,並在野外被積極利用。可以說微軟對這種情況並不太滿意,聲稱谷歌的行為“給客戶帶來了潛在的風險”。
10月初的某個時候,谷歌發現Windows和Flash都存在嚴重漏洞。10月21日,谷歌將兩款產品的關鍵安全問題告知了微軟和Adobe。10月26日,Adobe更新了Flash來解決這個問題。但是微軟仍然沒有解決隱藏在Windows內核中的問題。
儘管如此,谷歌還是在10月31日發佈在谷歌安全博客上的一篇文章中披露了這些漏洞的詳細信息。這符合公司的政策,即在通知供應商受影響的產品七天後公開披露這些問題的存在。
Google對Windows漏洞的描述如下:
"The Windows vulnerability is a local privilege escalation in the Windows kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability."
這可能會為黑客提供足夠的信息,讓他們知道如何利用該漏洞為自己謀利。這顯然讓微軟感到不安,它告訴VentureBeat:
"We believe in coordinated vulnerability disclosure, and today’s disclosure by Google puts customers at potential risk. Windows is the only platform with a customer commitment to investigate reported security issues and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection."
Adobe能夠快速修補該漏洞,但修補Flash比修補Windows容易得多。因此,微軟可能有一個有效的論點,即如此迅速的公開披露對所有相關人員都不利。這與試圖利用安全漏洞的罪犯不同。
需要注意的是,Flash漏洞是利用Windows漏洞所必需的。至少以目前的形式。所以,只要你確定你有最新版本的adobeflash,你應該暫時不會受到傷害。然而,微軟仍然需要儘快修補Windows漏洞。
谷歌這麼快就披露了這個漏洞,這是對的嗎?微軟是否有一個合理的論據,七天的時間不足以解決這些問題?你檢查過adobeflash是最新的嗎?請在下面的評論中告訴我們!
圖片來源:PirátskáStrana via Flickr
...是由土耳其開發商萊米·奧爾漢·埃爾根(Lemi Orhan Ergan)發現的。它允許任何人只需在“身份驗證”對話方塊中鍵入“root”作為使用者名稱,就可以獲得對macOS High Sierra計算機的完全管理許可權。然後,將密碼欄位留空並單擊“...
企業安全公司Forescout的研究人員釋出的一份新白皮書發現了一個可能影響數百萬臺聯網裝置的漏洞。 ...
...微軟也建議將IE瀏覽器改為更現代、更安全的瀏覽器。 谷歌Chrome仍在Windows7上執行,至少在2021年7月15日之前,它將透過安全更新來支援它。 微軟新推出的Edge瀏覽器基於與Chromium相同的底層程式碼,也支援Windows7,並且將至少持...
...再支援WindowsXP。Windows7最終也會遭遇同樣的命運。目前,谷歌表示,至少到2021年7月15日,它將繼續在Windows7上支援Chrome。 我能得到安全補丁嗎? Windows7的支援還沒有完全結束。微軟仍將為其提供“擴充套件安全更新”,但僅限...
...的光碟時,你撬開他們從我們冰冷,死手,我的想法。 谷歌和安卓新聞 網路上的Google地圖變得越來越漂亮,有一個Android漏洞五年沒有修補,googlepodcast也得到了一些喜愛。 網路上的谷歌地圖(Google Maps)一段時間以來看起來都...
...管Chrome的沙盒技術已經沒有使用時間了,但那些試圖破壞谷歌Chrome沙盒技術的漏洞已經非常罕見了。 負責任的披露 有時候,好人會發現漏洞。要麼是開發者自己發現漏洞,要麼是“白帽”駭客發現漏洞並負責任地披露,或許可...
...置都可以透過MMS資訊洩露,而這只是最引人注目的漏洞。谷歌沒有辦法在這些裝置上應用安全補丁,**商和運營商根本不在乎。 Android生態系統正在成為一個充滿安全漏洞的未修補裝置的有毒地獄。相比之下,當蘋果iOS出現安全...
...麼? 微軟支援WindowsXP的安全更新已經有13年了。無論何時發現嚴重的安全漏洞,Microsoft都會對其進行修補,並透過Windows Update向您釋出修補程式。這有助於確保您的計算機儘可能安全。 在支援日期結束後,微軟將不再修補WindowsXP...