微软Windows7、8.1再现零日漏洞
创始人
2025-01-10 03:50:11
0

日前,谷歌公司披露了另一个Windows零日漏洞,因为微软公司尚未能修复这个漏洞,这也是1月内第三次谷歌的Project Zero发布关于未打补丁Windows漏洞的细节。

[[127142]]

这个最新的零日漏洞已被证实存在于Windows 7和8.1中,它影响着函数CryptProtectMemory,这可能允许进程间的内存共享和登录会话ID提取。

根据Project Zero对该漏洞的描述,“GNG.sys中的部署在捕捉登录会话id时不会检查令牌的模拟水平,这样普通用户就可以模拟鉴定水平,并解密或加密该登录会话的数据。”

Project Zero最早在10月17日向微软报告了该漏洞,从这一天就开始进入谷歌90天公开披露的最后期限倒计时,谷歌称如果在这个时间内没有“广泛可用的补丁”,漏洞报告将会自动发布。

根据谷歌Project Zero问题跟踪网站的跟进文章显示,微软曾计划将该漏洞的补丁作为2015年1月星期二补丁修复的一部分,但由于兼容性问题而推迟。现在这个补丁计划将包含在2015年2月星期二补丁修复中,而谷歌对该漏洞的披露可能让Windows用户在那之前处于威胁之中。

双方都需要承担责任

谷歌因其自动披露政策而遭到抨击,微软称补丁修复已经在处理中,没必要让用户处于危险之中。安全供应商Veracode公司首席技术官兼首席信息安全官Chris Wysopal对这个漏洞将造成多大的威胁发出了警告。

Wysopal表示:“目前尚不清楚攻击者将如何利用这个漏洞。对于初学者来说,这是一个本地漏洞,这没有远程利用漏洞那么严重。但它可能被用于权限提升,这意味着攻击者可能利用该漏洞来在企业系统安装网络间谍或僵尸恶意软件。”

Wysopal认为谷歌可能要重新考虑其发布零日漏洞报告的政策,并称每个规则都会有例外情况,当对于补丁不能在截止日期前发布有着很好的解释时,谷歌应该延迟公布报告。

“谷歌的90天披露期限很不好,他们貌似没有考虑漏洞能否在90天内安全地修复,”安全供应商Bit9公司解决方案架构师Matt Larsen表示,“微软不能按时修复补丁也不好,或者更糟糕的情况是,补丁存在技术问题。”

Larsen表示,双方都需要承担更多责任,专注于更大的利益,否则对双方都不好,而且在这个过程中用户还会受到伤害。

相关内容

热门资讯

PHP新手之PHP入门 PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什... 《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详... 千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805... “霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据... 在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡 负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机 最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控... 本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...