写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

  • 2016-11-07
  • 本文字数:818 字

    阅读完需:约 3 分钟

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016-11-07 18:001396
用户头像

发布了 1008 篇内容, 共 387.9 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

LeetCode题解:1. 两数之和,JavaScript,双循环暴力解法,详细注释

Lee Chen

大前端 LeetCode

2. 妈呀,Jackson原来是这样写JSON的

YourBatman

Java json Jackson Fastjson

Vue 学习笔记-3

多选参数

vue.js Vue vuejs

胡继晔:发挥我国优势把依法治网落实到区块链管理中

CECBC

CECBC 胡继晔 依法治网 数字货币监管

除了技术,加密货币开发者更应关注可使用性

CECBC

加密货币 用户为本 可使用性 容错机制

高能预警!Apache Flink Meetup · 上海站返场啦

Apache Flink

flink

LeetCode001-两数之和-easy

书旅

算法 LeetCode 数据结构与算法

阿里巴巴大规模应用 Flink 的实战经验:常见问题诊断思路

Apache Flink

flink

主宰操作系统的经典算法

苹果看辽宁体育

后端 操作系统

最高法主张加强数字货币产权保护有法可依

CECBC

数字货币 法偿货币 中国人民银行 虚拟财产

架构师训练营第八周笔记

Melo

脑洞:基于Enterprise Continuum证明DDD用于构建汽车的可行性

冯文辉

企业架构 领域驱动设计 DDD 架构演进

关于中台,可能都是正确的废话

FinClip

中台 业务中台

英特尔中国研究院宋继强:芯片、系统、软件成为异构计算的三层级

最新动态

四十个鹏城春夏,一场数字繁花

脑极体

Vue 学习笔记-2

多选参数

vue.js Vue vuejs

推荐 16 款 IDEA 插件,让你的开发速度飞起来!

Bruce Duan

idea插件

IO系列——用户空间与内核空间

Java联盟

io 零拷贝 用户空间 内核空间 zero copy

JVM系列之:对象的锁状态和同步

程序那些事

JVM GC 同步

敏捷软件开发宣言及十二原则

BigYoung

敏捷开发

如何识别刷屏文章中的伪科学

Lee Chen

大前端 随笔杂谈

Demo 示例:如何原生的在 K8s 上运行 Flink?

Apache Flink

flink

报志愿|想学区块链,要上什么大学?报什么专业?

CECBC

高考 报考志愿 区块链专业 高校学院

腾讯面试题: 百度搜索为什么那么快?

小松漫步

面试

OAM 深入解读:如何基于 OAM Runtime 编写一个扩展 Trait?

钱王骞

云原生 k8s OAM

架构师训练营第八周学习总结

张明森

【区块链+通证经济】从量变到质变区块链发展的下一阶段是什么?

CECBC

数字货币 防篡改 通证

第7周作业

文古

CDN百科第七期 | 关于CDN的原理、术语和应用场景那些事

阿里云Edge Plus

CDN

Flink Weekly | 每周社区动态更新

Apache Flink

flink

性能优化

独孤魂

谷歌在微软发布补丁之前披露了Windows的严重漏洞_安全_Sergio De Simone_InfoQ精选文章