AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

  • 2016-11-07
  • 本文字数:818 字

    阅读完需:约 3 分钟

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016-11-07 18:001560
用户头像

发布了 1008 篇内容, 共 410.4 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

实践案例丨云连接CC实现跨区域多VPC与线下IDC Server互联

华为云开发者联盟

云服务 IDC

UML练习1-食堂就餐卡系统设计

博古通今小虾米

UML

不想搞Java了,4年经验去面试10分钟结束,现在Java面试为何这么难

Java架构师迁哥

关于手机里的IP地址,你不得不知道的“秘密”

脑极体

python——自定义序列类

菜鸟小sailor 🐕

架构师训练营结业作业

superman

Python基础知识(二)

Python基础

裳雨

GongTeng95

写作 写作平台

2020年7月云主机性能评测报告

博睿数据

云计算 测试 公有云 评测 排行榜

Spring Cloud 微服务实践(1) - 用Initializr初始化

xiaoboey

Spring Cloud Eureka Gateway Hoxton

LeetCode题解:622. 设计循环队列,使用数组,JavaScript,详细注释

Lee Chen

大前端 LeetCode

Spring Cloud 微服务实践(0) - 开篇闲话

xiaoboey

微服务 Spring Cloud Spring Boot Spring Framework

Spring Cloud 微服务实践(2) - Gateway重试机制

xiaoboey

maven Spring Cloud Gateway modules 重试

Electronjs

Neil

Java 大前端 Electron 客户端开发

数字货币量化交易,量化对冲搬砖系统开发

13530558032

2020年8月北京BGP机房网络质量评测报告

博睿数据

测试 机房 评测 排行榜 IDC

算法大赛评委亲授通关秘籍,报名倒计时!

易观大数据

直播倒计时|30分钟带你解锁“技术写作”新技能

有只小耳朵

技术 写作 直播 技术创作 RTC征文大赛

架构师训练营大作业

叮叮董董

USDT支付系统开发技术方案,数字货币承兑商支付

13530558032

高速路二维码报警定位系统开发,二维码报警定位功能

13530558032

大数据下单集群如何做到2万+规模?

华为云开发者联盟

大数据 集群

在线游戏,如何把握住1个亿以上的DAU?

博睿数据

运维 监控 AIOPS 系统 用户体验

活着

GongTeng95

CentOS 7 安装 Python 3.7

wong

Python

血的教训!千万别在生产使用这些 redis 指令

redis 学习 编程 程序员

一次旅途

GongTeng95

一次压缩引发堆外内存过高的教训

AI乔治

Java kafka JVM

危与机并存 保险业如何走好线上线下业务并举转型之路?

博睿数据

运维 监控 保险 AIOPS 系统

Java 基础语法

InfoQ_34a83d636158

如何进步神速

Sean

学习 个人成长

谷歌在微软发布补丁之前披露了Windows的严重漏洞_安全_Sergio De Simone_InfoQ精选文章