根据谷歌团队发布的博文,该漏洞是一个本地提权漏洞,可以让攻击者逃过沙盒过滤,获得管理员权限,并执行恶意代码。
其实,10天前谷歌就已经将此漏洞上报给微软。既然已经提交微软团队,谷歌为何在短短数日之后又将之公开? 漏洞已被利用“上周五,也就是10月21日,我们报告了(此前未公开的)两个0day漏洞分别给Adobe和微软。Adobe在10月26日更新了Flash,修补了CVE-2016-7855漏洞;此次更新可通过Adobe更新程序和Chrome自动更新实现。” 7天之后,谷歌团队发现Windows系统中依然存在谷歌上报的高危漏洞,并且微软没有发布任何安全公告或者补丁。同时,谷歌团队发现此漏洞正被积极利用,俄罗斯APT黑客组织Strontium,也就是Fancy Bear,正利用此漏洞部署“小规模”攻击,此组织也是美国民主党全国委员会(DNC)被黑事件的重点怀疑对象,这一信息也得到了微软的确认。 因此,谷歌认为此漏洞特别严重。于是谷歌团队将此漏洞公开,该举动符合谷歌在2013年制定的产品漏洞披露信息相关政策:
谷歌团队认为公开漏洞有两大好处:1.可让用户至少知晓问题的存在;2.可以敦促开发者发布补丁。 谷歌不是第一次这么干了谷歌工程师特别擅长寻找微软软件里的漏洞:在2010年6月,谷歌工程师发现了一个Windows高危漏洞,只给了微软5天响应时间,5天后,工程师将漏洞细节发布在网上(其中包括一个示例攻击代码);去年1月,谷歌Project Zero在给微软提交漏洞信息后,给了微软90天期限修复,但微软没有在期限内修复,于是谷歌就曝光了漏洞细节。 当时,微软的高级总监Chris Betz就曾喊话谷歌:“我们请谷歌与我们合作,等到1月13日我们发布补丁时,再公布漏洞细节,以保护客户。”他认为谷歌顽固执行其90天期限,不像是坚守原则,更像是套路,最后受伤的都是客户。“谷歌认为正确的,对客户来说不一定就是对的。我们敦促谷歌,将保护客户作为我们的首要共同目标。” 此话一出,谷歌方面重新考量自己的Project Zero,修改了披露规则,在原有90天的基础上又宽限了14天。 微软:不开心对于谷歌此次的曝光,微软肯定是不开心了,他们指责谷歌欺骗网民,混淆事实。微软首先在一篇声明当中回应:
微软官方随后针对攻击事件在11月1日发布了安全公告:
微软发言人也表示并不是所有Windows版本都受到了影响:
Windows执行副总Terry Myerson则表示谷歌的行为“令人失望”。Myerson认为,Strontium黑客组织利用谷歌报告的漏洞发动的鱼叉式钓鱼攻击是很有限的,因此大部分Windows用户都没有成为攻击目标,谷歌不必如此着急将漏洞公开。 Myerson表示,微软将在下周二,也就是Patch Tuesday发布时,修复此漏洞。Myerson还建议用户在等待补丁的同时,先将系统升级为Windows 10,以免受到进一步攻击。 参考来源:thehackernews、securityaffairs、theregister,FB小编kuma编译 |