http://www.ithome.com.tw/news/109340
2016-11-01发表
只通报10天就公开漏洞!Google以出现攻击为由,为了向使用者示警,紧急
公开了10天前通报给微软的一个Windows重大零时差漏洞,但微软还没准备
好这个漏洞的修补程式。Google此举也引发了微软的不满。但因此漏洞是
Flash的衍生漏洞,若已更新了Adobe提供的修补程式也可减缓Windows漏洞
的威胁。
Google威胁分析部门研究人员Neel Mehta 和 Billy Leonard指出,这个漏
洞是存在于Windows核心的本机权限升级漏洞。只要透过设定程式画面视窗
属性的win32k.sys系统函式呼叫NtSetWindowLongPtr(),将视窗样式参数
GWL_STYLE的数值设为WS_CHILD(子视窗样式)时,要取得子视窗ID时,就
会一并触发这个漏洞。简单来说,就是恶意程式可以在设定应用程式视窗样
式时,暗中调高恶意程式的权限,绕过安全沙盒防护执行。
Google安全研究人员补充指出,网络上已经出现攻击程式针对这项漏洞展开
攻击,也让本漏洞风险进一步升高,不过该公司表示Chrome的沙盒利用
win32k锁定防护(lockdown)技术能防堵win32k.sys系统呼叫,可减缓
Windows 10上的攻击。
Google在10月21日发现该漏洞并通报微软,却在仅10天之后即公布,违反了
安全业界通报修补的90天期限。微软修补程式此时还在赶制中,Google就将
此漏洞公告天下,此举也引发微软的不满。
微软发布声明批评,“我们向来遵行漏洞公布上的协同,今天Google片面公
布漏洞资讯将置客户于重大风险之中。Windows才是调查经通报的安全问题
及为受影响装置尽速升级的唯一平台,并提供Windows 10及Microsoft Edge
浏览器用户最佳防护。”
Google同时公布Adobe Flash的漏洞CVE-2016-7855。Venturebeat引述消息
来源指出,本漏洞是发生前述Windows零时攻击的必要条件。Adobe已经修补
Flash漏洞,Google人员也呼吁用户尽速升级,因此,升级Flash可降低
Windows用户的曝险程度。
自己来不及补漏洞的怪谁