http://www.ithome.com.tw/news/109340
2016-11-01發表
只通報10天就公開漏洞!Google以出現攻擊為由,為了向使用者示警,緊急
公開了10天前通報給微軟的一個Windows重大零時差漏洞,但微軟還沒準備
好這個漏洞的修補程式。Google此舉也引發了微軟的不滿。但因此漏洞是
Flash的衍生漏洞,若已更新了Adobe提供的修補程式也可減緩Windows漏洞
的威脅。
Google威脅分析部門研究人員Neel Mehta 和 Billy Leonard指出,這個漏
洞是存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗
屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr(),將視窗樣式參數
GWL_STYLE的數值設為WS_CHILD(子視窗樣式)時,要取得子視窗ID時,就
會一併觸發這個漏洞。簡單來說,就是惡意程式可以在設定應用程式視窗樣
式時,暗中調高惡意程式的權限,繞過安全沙盒防護執行。
Google安全研究人員補充指出,網路上已經出現攻擊程式針對這項漏洞展開
攻擊,也讓本漏洞風險進一步升高,不過該公司表示Chrome的沙盒利用
win32k鎖定防護(lockdown)技術能防堵win32k.sys系統呼叫,可減緩
Windows 10上的攻擊。
Google在10月21日發現該漏洞並通報微軟,卻在僅10天之後即公佈,違反了
安全業界通報修補的90天期限。微軟修補程式此時還在趕製中,Google就將
此漏洞公告天下,此舉也引發微軟的不滿。
微軟發佈聲明批評,「我們向來遵行漏洞公佈上的協同,今天Google片面公
佈漏洞資訊將置客戶於重大風險之中。Windows才是調查經通報的安全問題
及為受影響裝置儘速升級的唯一平台,並提供Windows 10及Microsoft Edge
瀏覽器用戶最佳防護。」
Google同時公佈Adobe Flash的漏洞CVE-2016-7855。Venturebeat引述消息
來源指出,本漏洞是發生前述Windows零時攻擊的必要條件。Adobe已經修補
Flash漏洞,Google人員也呼籲用戶儘速升級,因此,升級Flash可降低
Windows用戶的曝險程度。
自己來不及補漏洞的怪誰