返回
多御红包活动

谷歌再次披露微软未能修补的Windows漏洞

发布时间:2022-08-10 11:35:36 143
# 漏洞# 研究# 攻击# 安全漏洞# 补丁
Google Discloses Windows Vulnerability That Microsoft Fails To Patch, Again!


是的,谷歌的Project Zero团队再次公开披露了一个漏洞(利用POC漏洞)影响微软的Windows操作系统,从Windows Vista Service Pack 2到尚未修补的最新Windows 10。

几个月前,这家搜索引擎巨头在向微软披露了一个严重的Windows漏洞十天后,向公众披露了该漏洞。

然而,这一次谷歌向公众披露了Windows中的漏洞,因为微软未能在该公司规定的90天时间内对其进行修补。

谷歌的Project Zero成员Mateusz Jurczyk于去年6月9日向微软安全团队报告了Windows图形设备接口(GDI)库中的一个漏洞。

该漏洞会影响使用该库的任何程序,如果被利用,可能会让黑客从内存中窃取信息。

虽然微软在6月15日发布了针对该漏洞的补丁,但该公司没有修复GDI库中的所有问题,迫使Project Zero研究员在11月16日再次向微软报告,并提供概念验证。
Jurczyk在新报告中指出:“因此,在Internet Explorer和其他GDI客户端中,有可能通过像素颜色泄露未初始化或越界的堆字节,从而将显示的图像数据提取回攻击者”。
现在,在给予谷歌三个月的宽限期后,谷歌向公众公布了该漏洞的详细信息,包括黑客和恶意行为者。

Google Project Zero团队通常会在不同的软件中发现安全漏洞,并呼吁受影响的软件供应商在发现漏洞后90天内公开披露并修补漏洞。如果没有,该公司会自动公开该漏洞及其细节。

虽然Windows用户不必惊慌失措,因为黑客需要物理访问主机才能利用该漏洞,但在开发复杂的漏洞之前,雷蒙德巨人必须发布紧急补丁。

由于2月14日“一个可能会影响某些客户的最后一刻问题,而且没有及时解决,无法进行[微软]计划的更新”,微软最近将本月的补丁程序推迟了一个月。

因此,如果本月没有预期的紧急补丁,这个新披露的漏洞将留给黑客近一个月的时间来利用;就像我们上次看到的那样,俄罗斯黑客在野外积极利用当时未修补的Windows内核漏洞;这可能会让Windows用户面临潜在风险。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线