10月21日,杭州云栖大会-技术&可持续发展论坛,注册有礼 了解详情
写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

2016 年 11 月 07 日

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016 年 11 月 07 日 18:001048
用户头像

发布了 1008 篇内容, 共 324.4 次阅读, 收获喜欢 296 次。

关注

评论

发布
暂无评论
发现更多内容

阿里P9春招特此分享:Java核心开发成长手册(2021版)涵盖所有p5-p8技术栈

比伯

Java 编程 架构 面试 程序人生

微服务的下一步,离不开服务网格

xcbeyond

微服务 Service Mesh 服务网格 3月日更

Kyuubi: 网易数帆开源的企业级数据湖探索平台(架构篇)

网易数帆

大数据 spark 开源 Kyuubi

看故事学Redis:再不懂,我怀疑你是假个开发

华为云开发者社区

MySQL 数据库 redis 缓存 数据

区块链电子证照应用赋能政府服务

13530558032

Kubectl Plugin 推荐(三)| 插件开发篇

郭旭东

Kubernetes kubectl kubectl plugin

uni-app跨端开发H5、小程序、IOS、Android(一):太强了,一次性搞定全端开发

黑马腾云

微信小程序 uni-app 前端 uniapp 3月日更

Java的“泛型”特性,你以为自己会了?(万字长文)

比伯

Java 编程 程序员 架构 计算机

阿里P8大牛亲自教你!一个三非渣本的Android校招秋招之路,满满干货指导

欢喜学安卓

android 程序员 面试 移动开发

多端框架开发 | 拼团商城项目开发说明

APICloud

小程序云开发 前端 移动终端 APP开发 多端开发

区块链数字版权管理,区块链赋能知识产权保护

13530558032

您的客户管理决策是否低于10毫秒?

VoltDB

5G 物联网 解决方案 电信

阿里二面:什么是mmap?

艾小仙

案例+源码!阿里新产高并发技术小册太香了!内容涵盖高并发、网络编程、微服务、数据处理等诸多技术栈

程序员小毕

Java 程序员 面试 高并发 阿里

阿里P8大牛亲自讲解!2021年Android网络编程总结篇,醍醐灌顶!

欢喜学安卓

android 程序员 面试 移动开发

区块链数字版权管理,区块链赋能知识产权保护

13530558032

NAC公链——Nirvana NA公链白皮书

区块链第一资讯

挖矿 区块链+

网易云音乐:基于分布式图学习PGL的推荐系统优化之路

百度开发者中心

你遇到过哪些质量很高的 Java 面试?

张小方

Java 面试 阿里 薪资

PC五年,华为如水

脑极体

OpenKruise v0.8.0 核心能力解读:管理 Sidecar 容器的利器

阿里巴巴云原生

容器 微服务 云原生 k8s 应用服务中间件

在vscode中go编码发生的问题整理

happlyfox

Go 学习 vscode 28天写作 3月日更

跟公司新招的这个“同事”搭档,工作搬砖太“自动化”了

华为云开发者社区

华为 AI RPA 自动化 员工

云原生时代下,容器安全的“四个挑战”和“两个关键”

阿里巴巴云原生

容器 云原生 k8s 安全 监控

面试官:啥?SynchronousQueue是钟点房?

四猿外

Java 并发编程 高并发 并发 SynchronousQueue

Kubernetes入门——深入浅出讲Docker

百度开发者中心

Docker Kubernetes 云原生

Java程序员面试15家公司收到15份offer,月薪35K全靠这Java面试小抄(2021版)开源分享

云流

Java 程序员 面试

电商千万级交易的金手指:分布式事务管理

华为云开发者社区

微服务 事务 华为云 分布式事务管理 DTM

私藏干货 | 实现分布式锁的三种方案对比

架构精进之路

分布式锁 3月日更

Kubernetes入门——Kubernetes工作原理及使用

百度开发者中心

#Kubernetes# #技术课程#

对htmlMeta的实例详解

佰草

html5

数据cool谈(第1期)数据库寻路,开源有态度

数据cool谈(第1期)数据库寻路,开源有态度

谷歌在微软发布补丁之前披露了Windows的严重漏洞-InfoQ