回归最本质的信息安全

微软未修复漏洞,却被谷歌优先发布了exp

2017年2月20日发布

5,139
1
0

导语:微软再次陷入了一个窘境,因未及时修复一个漏洞,反被谷歌抢先公布了该漏洞的exp。谷歌的Project Zero再次在微软未修复漏洞之前,公布了漏洞的存在,并且还公布了漏洞的exp。

1487562208206511.png

微软再次陷入了一个窘境,因未及时修复一个漏洞,反被谷歌抢先公布了该漏洞的exp。谷歌的Project Zero再次在微软未修复漏洞之前,公布了漏洞的存在,并且还公布了漏洞的exp。

几个月以前,搜索引擎巨头谷歌向公众披露了一个非常严重的Windows漏洞。公开披露漏洞本身并不具有任何问题,但是问题在于谷歌是在微软未修复漏洞之前公开披露的,一时间舆论纷然,有人说是谷歌的行为过激,没有超过90天的公布期限就公布别人的漏洞是不善良的行为。

但是这次的情况完全不一样,谷歌提前已经将这个漏洞提交给了微软,并且时间也已经超过了90天,遗憾的是,微软并没有修复,所以谷歌按照自己的漏洞披露流程公布了这枚漏洞及其exp。

漏洞详情

谷歌Project Zero小组成员Mateusz Jurczyk详细描述了该漏洞,它存在于Windows的图形设备接口(GDI)库中,影响所有基于该库的项目。如果被攻击者成功利用,可能会导致内存中的敏感信息泄露。从Windows Vista Service Pack 2 到最新版本的Windows 10均受该漏洞的影响。

等了半年,微软迟迟不肯修复

Project Zero于2016年6月9日向微软提交了该漏洞,但是90天已经过去了,微软只是修复了GDI中的部分安全问题,并不是所有问题,所以谷歌Project Zero小组不得不再次向微软报告了这一问题,并且还提供了一个POC,再次提交漏洞的时间是11月16日。

时至今日,3个月又过去了,微软还是没有修复GDI库中的问题。于是谷歌决定向公众(包括黑客和恶意攻击者)披露,告诉大家微软的GDI上存在安全问题。

也许披露该漏洞对普通大众不会造成什么严重影响,但是,对黑客却大有用处,他们可以利用该漏洞访问受害者设备,窃取其中的敏感信息。

微软方面的应急

微软已经决定推迟本月的补丁更新时间,原因可能是,他们正在紧急修复该漏洞。

本文参考来源于thehackernews,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3420.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    尹依玉
    尹依玉 2017-02-20 17:53

    google 计划通り