谷歌vs.微软,谷歌公布Windows第三个未修补的零日漏洞
相关标签: # 漏洞# 技术# 攻击# 信息# 安全漏洞
谷歌再一次公开表示:披露了Windows 7和Windows 8.1中的一个新的严重漏洞在微软能够生产补丁之前,这两个操作系统的用户都会受到黑客的攻击,直到下个月,该公司计划发布修复程序。
披露未修补的漏洞,好还是坏?
谷歌严格的90天披露政策似乎是所有软件供应商在产品被黑客和网络犯罪分子利用之前修补产品的一个好举措。但与此同时,在Windows 7和8等广泛使用的操作系统中,披露所有关键缺陷及其技术细节似乎也不是一个正确的决定。在这两种情况下,唯一受害的是无辜的用户。
安全漏洞的暴露也是其中一部分谷歌的零点计划,该倡议旨在识别不同软件中的安全漏洞,并呼吁公司在发现漏洞后90天内公开披露并修补漏洞。
微软安全响应中心高级主管克里斯·贝茨写道,谷歌的举动感觉不那么像原则,而更像是“抓住了”,结果可能会让客户蒙受损失。“他继续说,”对谷歌有利的东西并不总是对客户有利。我们敦促谷歌将保护客户作为我们共同的首要目标。"
这一次,这家搜索引擎巨头在Windows 7和8.1中的CryptProtectMemory内存加密功能中发现了一个缺陷,该功能在32位和64位体系结构中都存在,这可能会意外地泄露敏感信息,或者让不法分子绕过安全检查。
MICROSOFT WILL DELIVER PATCH IN FEB, 2015
2014年10月17日,谷歌首次将Windows 7和8.1中的漏洞通知微软。微软随后于10月29日证实了这些安全问题,并表示其开发人员设法重现了安全漏洞。该漏洞的补丁计划于2月10日发布,下周二发布。
James Forshaw发现了该漏洞,他还发现了Windows 8.1中的一个“特权提升漏洞”,该漏洞于本周早些时候被披露,并招致了微软的强烈批评。新发现的病毒实际上存在于CNG中。sys实现,无法运行正确的令牌检查。
"问题是在CNG中的实施。sys在捕获登录会话ID(使用SequeryAuthenticationdToken)时不检查令牌的模拟级别,因此普通用户可以在标识级别模拟并解密或加密该登录会话的数据,詹姆斯·福肖在披露漏洞的帖子中说。
"这种行为当然可能是故意的;然而,由于没有参与设计,很难说。"
这是在不到一个月的时间里,谷歌的Project Zero第三次发布微软操作系统漏洞的详细信息,这是在其90天的公开披露期限政策之后。几天前,谷歌发布了微软Windows 8.1操作系统中一个新的权限升级漏洞的详细信息,就在微软计划修补该漏洞的两天前。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
