谷歌安全又来曝光Windows的0day漏洞了-这次依旧席卷所有windows系统

谷歌近日再次曝光Windows 0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。

[[175678]]

根据谷歌团队发布的博文,该漏洞是一个本地提权漏洞,可以让攻击者逃过沙盒过滤,获得管理员权限,并执行恶意代码。

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其实,10天前谷歌就已经将此漏洞上报给微软。既然已经提交微软团队,谷歌为何在短短数日之后又将之公开?

漏洞已被利用

 

“上周五,也就是10月21日,我们报告了(此前未公开的)两个0day漏洞分别给Adobe和微软。Adobe在10月26日更新了Flash,修补了CVE-2016-7855漏洞;此次更新可通过Adobe更新程序和Chrome自动更新实现。”

7天之后,谷歌团队发现Windows系统中依然存在谷歌上报的高危漏洞,并且微软没有发布任何安全公告或者补丁。同时,谷歌团队发现此漏洞正被积极利用,俄罗斯APT黑客组织Strontium,也就是Fancy Bear,正利用此漏洞部署“小规模”攻击,此组织也是美国民主党全国委员会(DNC)被黑事件的重点怀疑对象,这一信息也得到了微软的确认。

因此,谷歌认为此漏洞特别严重。于是谷歌团队将此漏洞公开,该举动符合谷歌在2013年制定的产品漏洞披露信息相关政策:

我们建议,厂商在60天内修复高危漏洞,如果无法修复,厂商也应知会公众风险相关信息,并提供变通方案。如果厂商需要更多时间修复漏洞,我们鼓励研究人员发布自己的相关发现。但是,根据我们的经验,我们认为对于高危的、正被积极利用的漏洞,厂商应在7天内采取更加紧急的措施。

 

7天的时限比较紧迫,对于某些厂商而言,如果要更新产品,7天可能有些短。但是,厂商发布可能的缓解措施,比如临时关闭某项服务、限制访问或者联系厂商获取更多信息,7天是足够的。因此,如果7天之后,厂商未提供补丁或建议,我们将支持研究者公开细节,以便用户采取防范措施。

谷歌不是第一次这么干了

谷歌团队认为公开漏洞有两大好处:1.可让用户至少知晓问题的存在;2.可以敦促开发者发布补丁。

谷歌工程师特别擅长寻找微软软件里的漏洞:在2010年6月,谷歌工程师发现了一个Windows高危漏洞,只给了微软5天响应时间,5天后,工程师将漏洞细节发布在网上(其中包括一个示例攻击代码);去年1月,谷歌Project Zero在给微软提交漏洞信息后,给了微软90天期限修复,但微软没有在期限内修复,于是谷歌就曝光了漏洞细节。具体事件FreeBuf也曾报道过,详情请戳这里。

当时,微软的高级总监Chris Betz就曾喊话谷歌:“我们请谷歌与我们合作,等到1月13日我们发布补丁时,再公布漏洞细节,以保护客户。”他认为谷歌顽固执行其90天期限,不像是坚守原则,更像是套路,最后受伤的都是客户。“谷歌认为正确的,对客户来说不一定就是对的。我们敦促谷歌,将保护客户作为我们的首要共同目标。”

此话一出,谷歌方面重新考量自己的Project Zero,修改了披露规则,在原有90天的基础上又宽限了14天(详细情况请点这里)。

微软:不开心

[[175679]]

对于谷歌此次的曝光,微软肯定是不开心了,他们指责谷歌欺骗网民,混淆事实。微软首先在一篇声明当中回应:

“我们认为公开漏洞时应互相配合,谷歌此番公开漏洞,将客户置于风险之中。”

微软官方随后针对攻击事件在11月1日发布了安全公告:

“近日,微软威胁情报称为Strontium的活动组织,发动了一次小流量鱼叉式钓鱼攻击。我们已经得知,使用Windows 10 周年更新版上的Microsoft Edge的用户不会受到此次攻击的影响。此次攻击,最初由谷歌威胁分析小组发现,利用的是Adobe Flash的两个0day漏洞和Windows的底层内核,针对特定的客户群体。”

 

微软发言人也表示并不是所有Windows版本都受到了影响:

“谷歌将这个本地提权漏洞描述为‘高危’、‘特别严重’,我们并不同意。因为他们描述的攻击场景,在上周Adobe Flash更新部署后就已经全面缓解了。另外,我们的分析认为,这种攻击针对Windows 10周年更新是无效的,因为先前我们就已经对系统进行了安全方面的加强。”

Windows执行副总Terry Myerson则表示谷歌的行为“令人失望”。Myerson认为,Strontium黑客组织利用谷歌报告的漏洞发动的鱼叉式钓鱼攻击是很有限的,因此大部分Windows用户都没有成为攻击目标,谷歌不必如此着急将漏洞公开。

Myerson表示,微软将在下周二,也就是Patch Tuesday发布时,修复此漏洞。Myerson还建议用户在等待补丁的同时,先将系统升级为Windows 10,以免受到进一步攻击。

文章转载自微信公众号“柯力士信息安全”

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/127638.html<

(0)
管理的头像管理
上一篇2025-02-24 18:44
下一篇 2025-02-24 18:46

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注