只通报10天就公开漏洞!Google以出现攻击为由,为了向使用者示警,紧急公开了10天前通报给微软的一个Windows重大零时差漏洞,但微软还没準备好这个漏洞的修补程式。Google此举也引发了微软的不满。但因此漏洞是Flash的衍生漏洞,若已更新了Adobe提供的修补程式也可减缓Windows漏洞的威胁。
Google威胁分析部门研究人员Neel Mehta 和 Billy Leonard指出,这个漏洞是存在于Windows核心的本机权限升级漏洞。只要透过设定程式画面视窗属性的win32k.sys系统函式呼叫NtSetWindowLongPtr(),将视窗样式参数GWL_STYLE的数值设为WS_CHILD(子视窗样式)时,要取得子视窗ID时,就会一併触发这个漏洞。简单来说,就是恶意程式可以在设定应用程式视窗样式时,暗中调高恶意程式的权限,绕过安全沙盒防护执行。
Google安全研究人员补充指出,网路上已经出现攻击程式针对这项漏洞展开攻击,也让本漏洞风险进一步升高,不过该公司表示Chrome的沙盒利用win32k锁定防护(lockdown)技术能防堵win32k.sys系统呼叫,可减缓Windows 10上的攻击。
Google在10月21日发现该漏洞并通报微软,却在仅10天之后即公布,违反了安全业界通报修补的90天期限。微软修补程式此时还在赶製中,Google就将此漏洞公告天下,此举也引发微软的不满。
微软发布声明批评,「我们向来遵行漏洞公布上的协同,今天Google片面公布漏洞资讯将置客户于重大风险之中。Windows才是调查经通报的安全问题及为受影响装置儘速升级的唯一平台,并提供Windows 10及Microsoft Edge浏览器用户最佳防护。」?Google同时公布Adobe Flash的漏洞CVE-2016-7855。Venturebeat引述消息来源指出,本漏洞是发生前述Windows零时攻击的必要条件。Adobe已经修补Flash漏洞,Google人员也呼吁用户儘速升级,因此,升级Flash可降低Windows用户的曝险程度。
I 相关 / Other
据韩联社报道,当地时间10月31日下午,到首尔中央地方检察厅接受调查的“朴槿惠亲信干政门”主角崔顺实被检方紧急拘留。检方重点调查崔顺实是否将Mir...据韩联社报道,当地时间10月31日下午,到首尔中央地方检察厅接受调
圣诞节销售旺季将到来,微软宣布即日起美国消费者用MacBook Pro或MacBook Air笔电换购Surface Book或Surface Pro电脑,最高可折650美元。为吸引更多消费者体验Surface系列装置, 微软宣布即日起至11月10日, 针对美
(健康医疗网/记者林怡亭报道)一名70多岁老翁,因二尖瓣膜逆流加上主动脉瓣膜逆流,导致下肢严重水肿,且心脏衰竭,一度危及生命,经紧急就医治疗后,经由医生同时进行二处瓣膜和主动脉瓣膜修补手术,所幸术后恢复良
巨集病毒肆虐! 微软将恶意巨集封锁延伸到Office 2013
示意图,与新闻事件无关。 微软在今年3月于Office 2016中新增了巨集封锁功能,以协助企业对抗日益增加的巨集病毒,本周微软则宣布,在客户的大力要求下,已于上个月将此一功能延伸至Office 2013。巨集(Macro)原本
微软今宣布与AMIS帐联网科技公司、工业技术研究院合作建构第一个在区块链技术及Microsoft Azure平台上的帐联网系统,并与多家金控的数位金融部门合作,推动台湾区块链发展。微软表示,区块链是一种能让业务、产业及