Google披露了Windows中的零日漏洞,该漏洞目前尚未修复,并在野外得到积极利用。毋庸置疑,微软对此情况不太满意,声称Google的行为“使客户面临潜在风险"。
Google有时在10月初发现了Windows和Flash的严重漏洞。 10月21日,Google向Microsoft和Adobe通报了这两种产品中的关键安全问题。 10月26日,Adobe更新了Flash以解决此问题。但是,微软仍然没有解决Windows内核中潜伏的问题。
尽管如此,Google在10月31日发表在Google安全博客上的一篇文章中披露了这些漏洞的详细信息。这符合公司的政策,即在向受影响的产品供应商通知受影响产品后的7天之内公开披露此类问题。
Microsoft对Google感到不满
Google描述了Windows漏洞如下所示:
“ Windows漏洞是Windows内核中的本地特权升级,可以用作安全沙箱转义。可以通过win32k.sys系统调用NtSetWindowLongPtr()来触发窗口句柄上的索引GWLP_ID,并将GWL_STYLE设置为WS_CHILD。 Chrome的沙箱使用Windows 10上的Win32k锁定缓解功能阻止win32k.sys系统调用,从而防止利用此沙箱逃逸漏洞。"
Which likely offers enough information for hackers to figure out how to use the vulnerability to their advantage. This has obviously upset Microsoft, which told VentureBeat:
"我们相信漏洞协调发布,而今天Google的披露将客户置于首位。有潜在的风险。 Windows是客户承诺调查已报告的安全问题并主动主动更新受影响设备的唯一平台。我们建议客户使用Windows 10和Microsoft Edge浏览器以获得最佳保护。"
这对涉及的每个人都是不利的
Adobe能够迅速修补此漏洞,但这是一个修补Flash比修补Windows容易得多。因此,微软可能有一个有效的论点,即如此迅速的公开披露对所有相关人员都是不利的。除了犯罪分子试图利用安全漏洞之外。
应注意,必须利用Flash漏洞才能利用Windows漏洞。至少以当前形式。因此,只要确保您具有最新版本的Adobe Flash,就可以暂时避免受到伤害。但是,Microsoft仍然需要尽快而不是以后修补Windows漏洞。
Google做了正确的事情如此迅速地披露了此漏洞吗? Microsoft是否有一个有效的论据,认为7天的时间不足以解决此类问题?您是否检查过以确保Adobe Flash是最新的?请在下面的评论中告诉我们!
图片来源:通过Flickr的PirátskáStrana
标签: Adobe Flash Google 黑客 Microsoft Windows
