谷歌再曝Windows8.1漏洞,微软怒了

在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升。谷歌一系列的漏洞公布惹怒了微软。

谷歌拒绝延期

短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了。根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息。不过令人好奇的是,在去年11月份,微软请求谷歌推迟漏洞公布日期,理由是他们打算在2015年2月份修复该漏洞。

但是,谷歌拒绝了微软的请求,理由是这不符合他们的漏洞公布策略。于是微软决定在2015年1月修复该漏洞,但谷歌仍旧拒绝推迟该漏洞的公布,即使推迟2天也不行。

关于Windows漏洞

谷歌安全研究人员确认该漏洞同样影响Windows 7系统,并提供了一个POC(概念验证),来展示如何利用该漏洞对Windows8.1系统进行攻击。谷歌报告中说:

“当用户登录到计算机时,系统会调用用户配置文件服务来创建特定的目录并挂载用户注册表Hive文件(普通账户没有该权限)。
在理论上,除了加载Hive文件之外,特权账户需要做的唯一事情就是创建基础配置文件目录。这应该是安全的,因为在C:\目录下
创建文件需要管理员权限才可以。配置文件存放在注册表中HKLM路径下,所以不会受到影响。

然而,在针对冒充情况的处理方式中似乎存在缺陷,配置文件路径中的最初几个资源文件是在用户令牌下创建的,但这种处理方
式使得其能够成功地冒充本地系统文件。任何冒充本地系统而被创建的资源文件都可能被用来进行权限提升。需要注意的是,它
并不是只发生在初始化本地配置文件时,而是在用户每次登录他们的账户时都会发生。”

微软:这是对用户的不负责任

微软公开批评了谷歌的漏洞公布政策。

微软安全响应中心高级主管Chris Betz在博文中说“谷歌完全没必要公布该漏洞的细节,因为微软已经计划在2015年1月13日发布系统更新。这是对用户的不负责任。与其说漏洞公开策略谷歌公司的原则,但更像是一个错误,一个最终让用户受害的错误。谷歌认为正确的事对客户来说并不一定正确。

针对此事,我们很难发表意见。尽管按照漏洞公布政策办事能够促使公司尽快修复漏洞,但是针对这类事情我们不得不给以相应的时间容忍,特别是当面临技术问题时,必须花费足够的时间仔细分析才能避免回归错误。

[参考来源SecurityAffairs,译/实习编辑JackFree,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-01-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

解密BadUSB:世界上最邪恶的USB外设

作者 Rabbit_Run 概述‍‍ 在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示...

19280
来自专栏沃趣科技

匠人匠心|沃趣QBackup v4.1.0发布,让主备同步“动起来”!

导语:沃趣科技的QBackup数据库备份容灾云平台,是一套集合了CDP备份,历史数据秒级恢复,灾备保护等功能的一体化云平台。支持主流的Oracle、MySQL等...

393100
来自专栏张善友的专栏

国内2大Git代码托管网站

可以说GitHub的出现完全颠覆了以往大家对代码托管网站的认识。GitHub不但是一个代码托管网站,更是一个程序员的SNS社区。GitHub真正迷人的是它的创新...

34680
来自专栏Java后端技术

分布式架构之美~

​  我们都知道,当今无论在BAT这样的大公司,还是各种各样的小公司,甚至是传统行业刚转互联网的企业都开始使用分布式架构,那么什么叫分布式架构呢?分布式架构有什...

29510
来自专栏技术博文

大型网站架构体系的演变

文章出处来源 摘自 微信--IT搬运工 地址:http://mp.weixin.qq.com/s?__biz=MzAxNTI4NDAzNA==&mid=205...

34970
来自专栏沈唁志

一个优秀的php程序员必须具备的7种能力,你的能力在哪里?

72050
来自专栏我是攻城师

支撑起整个互联网时代的 7 款开源软件

50170
来自专栏zhangdd.com

揭秘:2018阿里双11秒杀背后的技术

在今天双 11 这个万众狂欢的节日,对于阿里员工来说,每个环节都将面临前所未有的考验,特别是技术环节,今天我们就一起来探讨下双11天量交易额背后的技术。

19630
来自专栏企鹅号快讯

CRM重构之——微服务设计导读(一)

在介入正题前,想谈一下如何阅读,因为技术类的文章虽好,但需要一定的门槛,而且会比较枯燥,读后可能很快就会忘记读了什么,只记得读过。 导读 阅 带着兴趣 带着兴趣...

30290
来自专栏云计算D1net

云存储管理的9个免费工具

云计算的概念还不算太旧,却已很好地适应于世界各地。现在许多基于云的可用服务,已经开始大规模地流行起来。不少商人和企业家正在使用这些基于云的服务,因为即便他们不在...

77560

扫码关注云+社区

领取腾讯云代金券