写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

  • 2016-11-07
  • 本文字数:818 字

    阅读完需:约 3 分钟

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016-11-07 18:001634
用户头像

发布了 1008 篇内容, 共 419.8 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

软件测试 | 测试开发 | 测试人员必须掌握的测试用例

测吧(北京)科技有限公司

测试 测试用例

Qt | 文件信息 QFileInfo

YOLO.

c++ qt 9月月更

Qt | 关于点的坐标的使用 QPoint

YOLO.

c++ qt 9月月更

MySQL系列——约束、存储引擎、事务

胖虎不秃头

MySQL 数据库· 9月月更

软件测试 | 测试开发 | 测试人生 | 入行未满3年拿下AI领域上市公司30W+ offer,他靠的是什么?

测吧(北京)科技有限公司

软件测试 测试

Qt | 关于重绘事件处理函数 paintEvent()

YOLO.

c++ qt 9月月更

基于Hudi的湖仓一体技术在Shopee的实践

Shopee技术团队

Hudi LakeHouse 湖仓一体

Qt | 关于对象树和元对象的相关问题

YOLO.

c++ qt 9月月更

iOS端如何实现带UI截屏分享

MobTech袤博科技

ios

MySQL系列——表的创建、插入、修改、删除数据

胖虎不秃头

MySQL 数据库 9月月更

软件测试 | 测试开发 | 智能遍历测试在回归测试与健壮性测试的应用

测吧(北京)科技有限公司

软件测试 测试

软件测试 | 测试开发 | 接口自动化测试如何进行认证?

测吧(北京)科技有限公司

测试 自动化测试

数据可视化系列教程之组件通信

云智慧AIOps社区

前端 JavaScrip 可视化数据

Qt | 关于容器类的一些总结

YOLO.

c++ qt 9月月更

MySQL系列——索引、视图、DBA常用命令、数据库设计三范式

胖虎不秃头

MySQL 数据库· 9月月更

关于QPalette的使用

YOLO.

c++ qt 9月月更

软件测试 | 测试开发 | 一文搞定 uiautomator2 自动化测试工具使用

测吧(北京)科技有限公司

测试 自动化测试

字节跳动A/B实验背后的秘密:样本量计算

字节跳动数据平台

数据分析 前端 ab测试 统计原理

软件测试 | 测试开发 | 接口自动化中如何完成接口加密与解密?

测吧(北京)科技有限公司

Python 测试 自动化测试

软件测试 | 测试开发 | 视频编辑SDK测试

测吧(北京)科技有限公司

软件测试 sdk

Qt | 关于矩形大小的使用 QSize

YOLO.

c++ qt 9月月更

Qt | Qt中的一些使用在容器类上的算法

YOLO.

c++ qt 9月月更

软件测试 | 测试开发 | 这些常用测试平台,你们公司在用的是哪些呢?

测吧(北京)科技有限公司

测试 bug

软件测试 | 测试开发 | AppCrawler 自动遍历测试实践(三):动手实操与常见问题汇总

测吧(北京)科技有限公司

软件测试 测试 软件测试和开发

软件测试 | 测试开发 | 测试人生 | 00后0经验应届毕业生拿下2线城市15W offer,好励志~

测吧(北京)科技有限公司

软件测试 测试 offer

软件测试 | 测试开发 | 测试工程师用 Shell 定位 Bug 的正确姿势

测吧(北京)科技有限公司

测试 bug

望繁信科技携手复旦大学教育发展基金会,齐心共助公益慈善义拍

望繁信科技

Qt | 文件操作 QFile

YOLO.

qt 9月月更

软件测试 | 测试开发 | 测试人生 | 疫情之下,1个月内涨薪50%拿下亿级流量金融上市公司新 offer,我柠檬了~

测吧(北京)科技有限公司

软件测试 测试 offer

Qt | 关于样式表的使用 QStyleSheet

YOLO.

c++ qt 9月月更

FreeRTOS记录(三、RTOS任务调度原理解析_Systick、PendSV、SVC)

矜辰所致

Svc FreeRTOS 9月月更 Systick PendSV

谷歌在微软发布补丁之前披露了Windows的严重漏洞_安全_Sergio De Simone_InfoQ精选文章