谷歌再次披露微软未能修补的Windows漏洞
发布时间:2022-08-10 11:35:36 232
相关标签: # 漏洞# 研究# 攻击# 安全漏洞# 补丁
是的,谷歌的Project Zero团队再次公开披露了一个漏洞(利用POC漏洞)影响微软的Windows操作系统,从Windows Vista Service Pack 2到尚未修补的最新Windows 10。
几个月前,这家搜索引擎巨头在向微软披露了一个严重的Windows漏洞十天后,向公众披露了该漏洞。
然而,这一次谷歌向公众披露了Windows中的漏洞,因为微软未能在该公司规定的90天时间内对其进行修补。
谷歌的Project Zero成员Mateusz Jurczyk于去年6月9日向微软安全团队报告了Windows图形设备接口(GDI)库中的一个漏洞。
该漏洞会影响使用该库的任何程序,如果被利用,可能会让黑客从内存中窃取信息。
虽然微软在6月15日发布了针对该漏洞的补丁,但该公司没有修复GDI库中的所有问题,迫使Project Zero研究员在11月16日再次向微软报告,并提供概念验证。
Jurczyk在新报告中指出:“因此,在Internet Explorer和其他GDI客户端中,有可能通过像素颜色泄露未初始化或越界的堆字节,从而将显示的图像数据提取回攻击者”。现在,在给予谷歌三个月的宽限期后,谷歌向公众公布了该漏洞的详细信息,包括黑客和恶意行为者。
Google Project Zero团队通常会在不同的软件中发现安全漏洞,并呼吁受影响的软件供应商在发现漏洞后90天内公开披露并修补漏洞。如果没有,该公司会自动公开该漏洞及其细节。
虽然Windows用户不必惊慌失措,因为黑客需要物理访问主机才能利用该漏洞,但在开发复杂的漏洞之前,雷蒙德巨人必须发布紧急补丁。
由于2月14日“一个可能会影响某些客户的最后一刻问题,而且没有及时解决,无法进行[微软]计划的更新”,微软最近将本月的补丁程序推迟了一个月。
因此,如果本月没有预期的紧急补丁,这个新披露的漏洞将留给黑客近一个月的时间来利用;就像我们上次看到的那样,俄罗斯黑客在野外积极利用当时未修补的Windows内核漏洞;这可能会让Windows用户面临潜在风险。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报