写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

  • 2016-11-07
  • 本文字数:818 字

    阅读完需:约 3 分钟

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016-11-07 18:001402
用户头像

发布了 1008 篇内容, 共 389.4 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

谈跨域资源共享之CORS

devpoint

jsonp CORS 12月日更

SQL SERVER的统计信息

lixiaofeng

SQL优化 签约计划第二季

MySQL MGR + 自研脚本实现高可用

lixiaofeng

MySQL 高可用 签约计划第二季

“元宇宙”,让人在数据空间“复活”

xcbeyond

28天写作 云宇宙 12月日更

学习 27 门编程语言的长处,提升你的 Python 代码水平

Python猫

Python

MySQL Xenon源码阅读-01

lixiaofeng

MySQL MySQL 高可用 签约计划第二季

Spring AOP(三) Advisor类架构

程序员历小冰

28天写作 spring aop 12月日更

Camtasia的字幕功能应当如何使用

淋雨

Camtasia 录屏软件

前端架构师破局技能,Node.js 落地 WebSocket 实践

杨成功

架构 前端 架构师 nodejs websocket 签约计划第二季

C#中的结构与类

喵叔

28天写作 12月日更

MongoDB自动化运维

lixiaofeng

mongodb 签约计划第二季

LeetCode刷题开源手册

入门小站

Leet Code

腾讯云容器安全已支持检测Apache Log4j2漏洞

腾讯安全云鼎实验室

腾讯云安全、漏洞分析

为什么非要做个app

张老蔫

28天写作

MSSQL 执行计划

lixiaofeng

SQL优化 签约计划第二季

趣谈 iOS Universal Link

37手游iOS技术运营团队

ios universal link

漏洞学习篇:CVE漏洞复现

网络安全学海

黑客 网络安全 信息安全 渗透测试 漏洞修复

端口是什么东西?为什么老是被黑客利用

喀拉峻

黑客 网络安全 安全

MySQL MGR + 只读节点高可用

lixiaofeng

MySQL 高可用 签约计划第二季

Volatile 原理五:禁止指令重排是什么?

悟空聊架构

volatile 28天写作 悟空聊架构 12月日更 禁止指令重排

【行业观察】AI数据标注行业

mtfelix

28天写作

聚集索引数据写入

lixiaofeng

索引优化 签约计划第二季

Spring Native 0.11发布,带来新的AOT引擎和性能优化

Robert Lu

Java GraalVM

MSSQL索引优化原理

lixiaofeng

SQL优化 签约计划第二季

Feign入门篇

李子捌

微服务 28天写作 12月日更

你真的了解inner join吗

lixiaofeng

签约计划第二季

从WAVE SUMMIT+2021,寻找新一代AI人不可或缺的“凝视”

脑极体

“朋友圈”又添好友,DataPipeline与统信服务器操作系统完成产品互认证

DataPipeline数见科技

大数据 操作系统 中间件 数据同步 数据融合

2021年终总结:如何快速学完多个课程

石云升

知识付费 年终总结 28天写作 12月日更

golang 脚本实时监控错误日志

lixiaofeng

mongodb MySQL 运维 签约计划第二季

读《思辨与立场》-01定义

wood

28天写作 批判性思维 思辨与立场

谷歌在微软发布补丁之前披露了Windows的严重漏洞_安全_Sergio De Simone_InfoQ精选文章