剑客
关注科技互联网

谷歌公开了一种积极 Windows 漏洞仅 10 天后报告它 t…

谷歌公开了一种积极 Windows 漏洞仅 10 天后报告它 t...

谷歌今天共享有关在 Windows 中,仅 10 天后 10 月 21 日向微软透露它的安全漏洞的详细信息。更糟的是,谷歌表示它认识到此关键 Windows 漏洞在野外被积极地利用。这意味着攻击者已经写这种特定安全漏洞的代码,用它来闯入 Windows 系统。

0 天漏洞是不以前知道的公开披露的安全缺陷。换句话说,使软件的公司已经不尚未发布了补丁了。事实上,微软没有发布了修补程序或发出的这一缺陷的咨询。

Google 所描述的此特定的 Windows 漏洞,如下所示︰

Windows 漏洞是可以用作安全沙箱逃脱了 Windows 内核中的本地特权升级。它可以通过 GWLP_ID 在一个窗口上的处理的索引与扩张的 NtSetWindowLongPtr() 设置为 WS_CHILD win32k.sys 系统调用触发。Chrome 的沙箱阻止 win32k.sys 系统调用使用 Win32k 锁定缓解上 Windows 10,防止利用此沙箱逃生漏洞。

也于 10 月 21 日,谷歌与 Adobe,那家公司 10 月 26 日打补丁共享一个 Flash 漏洞 (CVE-2016年-7855)。这意味着用户可以简单的升级到最新版本的 Flash。其他的安全缺陷,谷歌只是建议”Windows 补丁从微软时应用它们成为可供 Windows 漏洞。

像 Flash 这样的 web 插件是少了很多复杂而不是像 Windows 操作系统。这是谷歌的政策为积极剥削严重漏洞的原因之一 — — 即七天后公开详情 — — 是如此有争议的。许多软件公司认为,一周不是足够的时间来编写代码、 测试和发布一个安全漏洞的补丁程序。谷歌更喜欢让公众意识到,宜早不宜迟,但许多安全研究人员维护细节只应被共享,一旦一个补丁。

这不是第一次,谷歌已公开披露的 Windows 漏洞之前修补程序就是准备好了。事实上,公司这样做 Windows 8.1 1 月 2015 年两次。微软可以理解的是不是高兴,但这次是甚至更为严重。两者都这些漏洞不是正在积极利用。

我们已经达到了微软关于谷歌披露今天,如果我们听到将更新你回来。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址