微软一脸懵逼:32TB的Win10源码泄露!

综合自:36氪、 Solidot、快科技、程序猿等媒体

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB

据 theregister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心源码被人上传到了网上,对于不懂技术的普通人来说这也许不算什么,但对于苦苦寻觅Windows 漏洞的人来说,这可是踏破铁鞋无觅处,得来全不费功夫。而这反过来也会对全体Windows用户的安全造成极大威胁。稍微好一点的消息是,相关网站目前正在撤除Windows代码中的非公开部分。

据悉这些数据包含了官方和非公开版本的安装镜像和软件蓝图,压缩后总共有 8TB,被上传到了betaarchive.com网站上面。最新一批文件是在本周早些上传的。这批机密数据据信是从今年3月左右微软的内部系统中泄露出去的。

这些被泄露的代码是微软的共享资源包(Shared Source Kit),据看过代码的认识解释,这些代码包括是Windows 10的硬件驱动库以及Redmond 的PnP(即插即用)代码,Wi-Fi栈,存储驱动器以及ARM相关的OneCore内核代码。

这意味着什么呢?意味着拿到这些代码的人可以审查寻找存在的安全漏洞,然后用来攻击全球各地用户的Windows系统。关键是这些代码属于WIndows操作系统的核心,而核心级代码的受信任等级是最高的。谁要是控制了这些代码,几乎就可以为所欲为。

被泄露的Windows源码截屏

除此以外,至今尚未公开发布的Windows 10以及Windows Server 2016版本也一并被泄露出来。这些机密的版本本来是微软工程师出于寻找bug和测试目的而开发的,里面包括了私密的调试符号,在公开发布时往往会剔除掉。但是对于黑客来说,那些符号往往能透露重要信息。

举个例子,Windows 10 “Redstone”预发布版和尚未发布的64位ARM版Windows也在其中。考虑到被泄露出去的版本实在是太多了,估计微软已经没有办法启动安全启动机制来阻止用户启动预发布版的操作系统,也许会给黑客制造研究代码的可乘之机。

一并被泄露出去的还包括了Windows 10 Mobile Adaptation Kit,这个机密的软件工具包可以让Windows操作系统在各种便携式和移动设备运行。

尽管Beta Archive已经采取了部分措施,但是能访问其私有库的网民仍然可以免费下载上面现有的所有数据。Windows用户需要提高警惕,而微软看起来这段时间有得忙了。

(上部分参考了多个信息来源:www.theregister.co.uk)

微软回应

The Register 报道称,压缩到 8 TB 的微软 Windows 非公开镜像和软件蓝图被上传到了 betaarchive.com 的 FTP 服务器,文件解压后大小为 32 TB。这些数据属于微软的 Shared Source Kit,包含了 Windows 10 硬件驱动源代码,USB 和 Wi-Fi 堆栈,存储驱动、ARM 特定的 OneCore 内核代码,等等。报道称,这些信息可用于寻找安全漏洞。

via. https://www.betaarchive.com/forum/viewtopic.php?f=1&t=37283

Betaarchive 发表官方声明,称文件夹大小仅仅为 1.2GB,并非是机密数据。微软发言人随后也证实,这些源代码是通过共享代码计划与 OEM 厂商和合作伙伴分享的源代码的一部分。(来自:Solidot)

原文发布于微信公众号 - 顶级程序员(TopCoding)

原文发表时间:2017-06-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。 根据安全公司的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateK...

30150
来自专栏FreeBuf

黑客是如何通过RDP远程桌面服务进行攻击的

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

371100
来自专栏草根博客站长有话说

降低 CDN 付费 HTTPS 流量消耗实践总结

从明月下定决心开始使用又拍云 CDN 的时候,就有一个问题困扰着我,那就是 CDN 流量消耗是越来越大,最夸张的时候一天流量消耗达到了惊人的 2G 多了,这对于...

23630
来自专栏ChaMd5安全团队

Shodan在渗透测试及漏洞挖掘中的一些用法

渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易。而关于信息收集的文章网上也是有太多,但是你真的会用吗?...

629110
来自专栏大数据文摘

看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金

18130
来自专栏程序员的SOD蜜

闲话权限系统的设计

一、权限的本质 权限管理,首先要理清权限的本质:权限就是对受保护资源的有限许可访问。 理解了权限的本质,就好谈权限的管理了。 权限就是对受保护资源的有限许可访问...

40580
来自专栏FreeBuf

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的...

25860
来自专栏FreeBuf

序列化漏洞影响半数以上Android手机

Stagefright漏洞爆出没多久,Android平台又爆出一重大漏洞,影响55%的手机。IBM的X-Force应用安全研究团队近日发现了这一漏洞。 攻击者可...

22990
来自专栏做全栈攻城狮

用Android最火的快速开发框架XUtils,进行文件下载

更多原创教程,关注微信公众平台:做全栈攻城狮。及做全栈攻城狮官网:www.8z5.net

35330
来自专栏技术杂文

你信任的公司正在窃取你的信息

通常来讲,“购买新产品” 指的是这样的交易过程:购买食物时,可以先确认食材然后购买它,即使难吃也不会要了你的命;购买汽车时,首先它得符合所有安全标准;为特定目的...

12330

扫码关注云+社区

领取腾讯云代金券