微软怒了,谷歌再曝Windows8.1漏洞

在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升。谷歌一系列的漏洞公布惹怒了微软。

谷歌拒绝延期。

Windows8.1漏洞

短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了。根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息。不过令人好奇的是,在去年11月份,微软请求谷歌推迟漏洞公布日期,理由是他们打算在2015年2月份修复该漏洞。

但是,谷歌拒绝了微软的请求,理由是这不符合他们的漏洞公布策略。于是微软决定在2015年1月修复该漏洞,但谷歌仍旧拒绝推迟该漏洞的公布,即使推迟2天也不行。

关于Windows漏洞

谷歌安全研究人员确认该漏洞同样影响Windows 7系统,并提供了一个POC(概念验证),来展示如何利用该漏洞对Windows8.1系统进行攻击。谷歌报告中说:

“当用户登录到计算机时,系统会调用用户配置文件服务来创建特定的目录并挂载用户注册表Hive文件(普通账户没有该权限)。在理论上,除了加载Hive文件之外,特权账户需要做的唯一事情就是创建基础配置文件目录。这应该是安全的,因为在C:\目录下创建文件需要管理员权限才可以。配置文件存放在注册表中HKLM路径下,所以不会受到影响。

然而,在针对冒充情况的处理方式中似乎存在缺陷,配置文件路径中的最初几个资源文件是在用户令牌下创建的,但这种处理方式使得其能够成功地冒充本地系统文件。任何冒充本地系统而被创建的资源文件都可能被用来进行权限提升。需要注意的是,它并不是只发生在初始化本地配置文件时,而是在用户每次登录他们的账户时都会发生。”

微软:这是对用户的不负责任

微软公开批评了谷歌的漏洞公布政策。

微软安全响应中心高级主管Chris Betz在博文中说“谷歌完全没必要公布该漏洞的细节,因为微软已经计划在2015年1月13日发布系统更新。这是对用户的不负责任。

与其说漏洞公开策略谷歌公司的原则,但更像是一个错误,一个最终让用户受害的错误。谷歌认为正确的事对客户来说并不一定正确。

针对此事,我们很难发表意见。尽管按照漏洞公布政策办事能够促使公司尽快修复漏洞,但是针对这类事情我们不得不给以相应的时间容忍,特别是当面临技术问题时,必须花费足够的时间仔细分析才能避免回归错误。

谷歌报告:Windows Elevation of Privilege in User Profile Service

https://code.google.com/p/google-security-research/issues/detail?id=123

原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/368.html

(0)
上一篇 2015-01-09
下一篇 2015-01-17

相关推荐

  • 又是蓝翔:中国出口扫描仪被发现携带恶意程序

    一家向全球物流和运输公司出售手持扫描仪硬件和软件的中国公司被发现其产品携带了恶意程序。恶意程序渗透到企业内网后会向位于中国的指令控制服务器发送数据,而其中一个指令控制服务器位于山东…

    2014-07-19
    1.6K20
  • 百度百科收费更改词条事件证据足 已报警

    5月13日上午消息,百度百科今日就“切糕王子-阿迪力”词条事件发表声明,称:百度百科确实未收费改词条,并通过阿迪力和其他用户提供的线索,百度百科已经掌握了该公司涉嫌多起行骗案件的证…

    2016-05-14
    1.4K20
  • 谷歌发布补丁 修复安卓WPA2协议漏洞

    用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议,已被破解,攻击者通过漏洞可以获得一个万能密钥,不需要密码就可以访问任何 WAP2 网络,窃取敏感信息。这个漏洞影响了…

    2017-11-07
    3.2K10
  • Google 图片搜索将支持书签功能

    一般而言,Google 图片搜索大多仅能帮你做暂时的寻找用途,如果需要好好地整理归类一些参考图片的话,则是需要借助 Pinterest 这类的服务来达成,也令人觉得在某种程度而言好…

    2015-12-04
    1.6K20
  • 谷歌网络服务宕机,中国电信背锅

    上周日,谷歌旗下的云服务、YouTube等网络服务在全球范围内均发生了数小时的宕机,外媒称因遭到来自中国电信IP的BGP劫持导致故障发生。虽然这次事件为中国电信带来了“宝贵”的谷歌…

    2018-11-17
    4.7K00
  • Google悄悄开发的全新操作系统 Fuchsia

    如今谷歌Android和苹果iOS两大操作系统早已称霸移动平台多年。其中Android因为开源的特点被大量厂商采用,但一些有实力的厂商不希望被一直别人左右,一直在研发自己的操作系统…

    2016-08-14
    1.8K20
  • 玩围棋还不够,谷歌DeepMind涉足医疗领域

    要挑战李世乭的人工智能团队又有新动作了。据彭博社报道,谷歌旗下人工智能公司DeepMind正推进自身医疗技术发展,试图将人工智能技术应用于医疗行业。 DeepMind周三表示,该公…

    2016-02-26
    1.2K10
  • 教你如何用好Google的搜图功能

    作为全球最大的搜索引擎,Google 的图片搜索功能非常强大。它不光在数量上“搜得多”,在使用体验上也非常好用。 最近,Google 图片进行了一次比较大的升级,点击后图片会常驻在…

    2019-08-16
    12.4K20
  • 迅雷暂停会员功能后的无奈和困局

    迅雷近日为会员推出了一个“暂停会员”的功能,暂停会员可以让你在长时间不需要使用迅雷会员时,把会员有效时间暂停,等到需要的时候再激活而不必浪费。会员有效时间将会暂停,当用户再次激活时…

    业界资讯 2014-06-22
    6.0K00
  • Google 已正式砍掉备受争议的蜻蜓「Dragonfly」计划

    从去年中消息走漏以来就备受争议的 Google 中国专用「过滤版」蜻蜓搜索引擎计划,在稍早已由公共政策副总 Karan Bhatia 在参议院司法委员会的听证会上,证实已被「终止」…

    2019-07-20
    4.9K30

发表回复

登录后才能评论