谷歌再次披露微软尚未修复的安全漏洞 微软将在11月10日发布安全更新
通常情况下谷歌旗下安全实验室发现漏洞后会预留 90 天给开发商修复,90天后无论漏洞是否修复细节都会公开。
谷歌以前就因为公布微软未修复的安全漏洞遭到微软强烈抨击,不过抨击没啥用谷歌依然继续公开微软安全漏洞。
此次公布的安全漏洞编号为CVE-2020-17087,该漏洞可以进行沙盒逃逸然后进行权限提升从而控制整个计算机。
因为谷歌公布漏洞的时间太早,于是留给微软修复的时间实际只有 7 天 , 显然谷歌这种做法又要遭到微软的狂喷。
谷歌安全实验室技术负责人表示该漏洞式的攻击者能够进行权限提升,还可以与谷歌浏览器的安全漏洞配合使用。
据悉谷歌浏览器在早些时候发布紧急安全更新修复某个沙盒逃逸漏洞,攻击者利用漏洞可在系统上安装恶意软件。
谷歌表示已经有证据表明这枚漏洞在野外遭到黑客的利用,因此谷歌直接公开漏洞细节敦促开发商快速进行修复。
谷歌安全实验室同时还提供概念验证代码,借助概念验证代码我们很容易利用内核加密驱动程序造成系统崩溃等。
内核加密驱动程序 (cng.sys) 是Windows系统核心组成部分 , 有时这个驱动程序也会在发生异常时引起蓝屏死机。
谷歌安全实验室表示微软已经收到漏洞通报并将在11月10日发布的安全更新对 Windows 10 这枚漏洞进行修复。
然鹅这枚漏洞同样影响Windows 7以及Windows Server 2008系列 ,这些版本已经停止支持因此不会获得更新。
除非企业级用户已经购买微软的付费扩展支持计划,付费购买扩展支持计划微软会额外提供安全支持修复该漏洞。
在这里也提醒那些仍然使用已经停止支持的旧版操作系统的用户,如果可以的话请尽快升级到受支持的操作系统。
针对此次谷歌提前公布未修复漏洞细节问题微软官方也发布回应,这回可以看出来微软的态度相对还是很克制的。
微软表示该公司承诺尽快调查研究人员通报的安全漏洞,同时会尽快制作安全更新对相关漏洞进行修复保护客户。
微软称会努力满足所有研究人员的披露截止日期 (包括这种短期劫持日期)的同时平衡安全更新及时性和开发质量。
微软官方发言人也表示就目前来说此次漏洞的利用非常有限且具有针对性,该公司没有证据表明漏洞被广泛利用。
微软在回应中其实也在抨击谷歌只预留一周修复漏洞的时间,不过倒是没有像特里梅尔森以前直接大骂谷歌自私。