限时领|《AI 百问百答》专栏课+实体书(包邮)! 了解详情
写点什么

谷歌在微软发布补丁之前披露了 Windows 的严重漏洞

  • 2016-11-07
  • 本文字数:818 字

    阅读完需:约 3 分钟

近日,谷歌威胁分析小组披露了微软 Windows 内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。

实际上,谷歌披露的漏洞依赖两个 Bug,一个在 Windows 内核中,另一个在 Adobe Flash 中。Adobe 已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe 也表示:

存在一个漏洞 CVE–2016–7855,在针对运行 Windows 7、8.1 和 10 的用户发起的有限攻击中被利用。

在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在 11 月 8 日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁 Terry Myerson 还提供了一些有关 Strontium 的更详细的信息,这是一个以利用漏洞而闻名的组织:

Strontium 是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它] 会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM 会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。

在 Myerson 看来:

在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。

谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60 天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7 天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。

在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场。

查看英文原文: Major Windows Vulnerability Disclosed by Google before Patch Available

2016-11-07 18:001670
用户头像

发布了 1008 篇内容, 共 424.3 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

算法从有序数组中移除重复的数据,AI学习资源2020 John 易筋 ARTS 打卡 Week 38

John(易筋)

ARTS 打卡计划 ai youbute学习资源

2.react心智模型(来来来,让大脑有react思维吧)

全栈潇晨

React React Hooks react源码

13. 如果自己写的 Python 程序出错了,怎么办?

梦想橡皮擦

python 爬虫 2月春节不断更

给hugo博客添加评论功能

远鹏

Hugo 静态博客 utterances

第四章作业-编写一个用例文档

秦挺

3.Fiber(我是在内存中的dom)

全栈潇晨

React React Hooks react源码

端口隔离和VLAN的区别

写公号大半年,看看我都收获了些啥

架构精进之路

技术 总结 微信公众号 成长笔记

程序员成长第五篇:如何选择城市工作?

石云升

程序员 2月春节不断更 选择城市

EternalWallet为您提供快速、便捷、低价的国际汇款服务

Geek_c610c0

面试的季节到了,老哥确定不来复习下数据结构吗

Silently9527

面试 数据结构与算法

话题讨论 | 如何使用“网站SEO”,让网站排在最前面?

我是哪吒

大前端 后端 话题讨论 SEO 2月春节不断更

翻译:《实用的Python编程》01_05_Lists

codists

人工智能 后端 python 爬虫 列表 数据结构与算法

春节快过腻了?不妨关心下太空探索

脑极体

字幕组时代落幕,翻译的未来可能是?

字节跳动技术团队

门诊数字化:患者信息识别方式

boshi

医疗 数字化基础 七日更

一维数组的动态和

小马哥

算法

第 4 周作业

老元宵

C语言第三方库Melon开箱即用之词法分析器使用

码哥比特

c c++ Linux 后端 框架

微信红包封面,2021年为啥突然火了?

架构精进之路

春节 微信红包封面 商业洞察

1.开篇(听说你还在艰难的啃react源码)

全栈潇晨

React React Hooks react源码

gradle中的增量构建

程序那些事

maven Gradle 程序那些事 构建工具

IDEA插件:快速删除Java代码中的注释

xiaoxi666

Java 代码注释 JavaParser

揭秘登上2021春晚舞台的黑科技-XR技术

架构精进之路

黑科技 vr 春晚 XR MR

【STM32】PWM 输出 (标准库)

AXYZdong

硬件 stm32 2月春节不断更

【LeetCode】重塑矩阵Java题解

Albert

算法 LeetCode 2月春节不断更

Elasticsearch mapping 复杂数据类型

escray

elastic 七日更 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

用例文档

三生赤水

日记 2021年2月17日(周三)

Changing Lin

2月春节不断更

【函数计算实践】nodejs初探示例——本地mac环境

程序员架构进阶

架构 nodejs 函数计算 七日更 2月春节不断更

LeetCode题解:1091. 二进制矩阵中的最短路径,BFS,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

谷歌在微软发布补丁之前披露了Windows的严重漏洞_安全_Sergio De Simone_InfoQ精选文章