谷歌不听劝,再次公开一项未修复的Windows漏洞
黄龙山下 UID.862452
2015-01-17 发表
本帖最后由 newsmanager 于 2015-1-17 18:32 编辑
***附件停止解析***
前段时间谷歌研究人员在Windows 8.1中发现一项没有修补的安全漏洞,并将bug发布到谷歌安全研究页面上。按照漏洞公开政策,如果90天内微软没有发布补丁,那么这项bug将自动被公开。依据这一政策,谷歌公开了漏洞信息。当时微软要求谷歌推迟两天,等他们在周二补丁日发布修复补丁。但谷歌拒绝了微软的请求。
几天前,谷歌发布了另一项Windows 8.1安全漏洞。但是微软在第二天就发布了修复补丁。
今天,谷歌第三次公开了Windows中的一项漏洞以及PoC(验证代码)。但微软尚未修复这一漏洞。
QuoteBug信息:
平台:Windows 7,8.1 Update 32/64位
等级:安全绕过/信息披露
CryptProtectMemory函数允许应用程序加密内存。当使用登录会话选项时加密密钥生成基于登录会话的标识符,问题是CNG.sys不会检查登录会话识别信息。当然,这种行为最可能被利用,但利用方式很难查明。文档表示用户必须模拟客户端,但最终只能够代表客户端而不是识别客户端。
微软已经对谷歌公开漏洞表达了不满。但谷歌并没有准备与微软友好沟通。为了回击谷歌,我想如果微软也发布一些Android WebView漏洞的验证代码,那样就会影响到数十亿的用户。
Via:***链接停止解析***
敬告:
为防止不可控的内容风险,本站已关闭新用户注册,新贴的发表及评论;
你现在看到的内容只是互联网用户曾经发表的言论快照,仅用于老用户留存纪念,且仅与科技行业相关,全部内容不代表本站观点及立场;
本站重新开放前已针对包括用户隐私、版权保护、信息安全、国家政策在内的各种互联网法律法规要求,执行了隐患内容的自查、屏蔽和删除;
本站目前所属个人主体,未有任何盈利安排与计划,且与原WFUN.COM所属公司不存在任何关联关系;
如果本帖内容或者相关资源侵犯到您的合法权益,或者您认为存在问题,那么请您务必点此举报或投诉!
为防止不可控的内容风险,本站已关闭新用户注册,新贴的发表及评论;
你现在看到的内容只是互联网用户曾经发表的言论快照,仅用于老用户留存纪念,且仅与科技行业相关,全部内容不代表本站观点及立场;
本站重新开放前已针对包括用户隐私、版权保护、信息安全、国家政策在内的各种互联网法律法规要求,执行了隐患内容的自查、屏蔽和删除;
本站目前所属个人主体,未有任何盈利安排与计划,且与原WFUN.COM所属公司不存在任何关联关系;
如果本帖内容或者相关资源侵犯到您的合法权益,或者您认为存在问题,那么请您务必点此举报或投诉!
全部回复:
single888
UID.536729
2015-01-17 回复
本帖最后由 single888 于 2015-1-17 08:44 编辑
估计微软反应太慢,谷歌就发布出来让第三方帮忙修复,微软太姜板,非要礼拜二修复。早一天修复就会少一分危险。急事急办这道给微软说不通
3517277
UID.13183
2015-01-17 回复
Quote***链接停止解析***
也说明了微软的确不认真!不行!
是系统都有漏洞,微软最近都一直在研发,又平台整合,又WP,又发布会的,而且,之前裁员很多人,直接影响到没有空暇来修复漏洞,只能以更新版的形式修复了吧。
mayalan
UID.16689
2015-01-17 回复
Quote3517277 发表于 2015-1-17 09:38
是系统都有漏洞,微软最近都一直在研发,又平台整合,又WP,又发布会的,而且,之前裁员很多人,直接影响 ...
就像手机拿到客服,客服说太忙了,后天来吧,呵呵
wyphen
UID.611925
2015-01-17 回复
本帖最后由 wyphen 于 2015-1-17 13:07 编辑
不要反击。。。那只会更失去民心,只要自己做好了又或者强大了,何惧这些小事
君不见果子的ip4信号不好依然大卖?君不见osx的10.10wifi问题如此严重依然大把人没所谓?
公司形象好,做了啥错都能被原谅,都能没所谓,微软虽好,我也超支持微软,但是目前在大部分消费者的心中形象很差的,特别安粉们,就连我们wper都对你的速度不满意。。。快点抓紧时间改善自身,别再给自己增加被抹黑的可能性了。。。
L****W
UID.790696
2015-01-17 回复
Quotejamesbean08 发表于 2015-1-17 13:13
提醒90天了的漏洞都不修复,别人一公布细节当周就发补丁,前面那么长时间微软干嘛去了 ...
说明你没认真看文章,文里说了微软要求谷歌推迟两天公布等周二更新把漏洞补上,但是谷歌直接公布了出来,还演示如何利用漏洞,这就不厚道了。
jamesbean08
UID.45757
2015-01-17 回复
QuoteL.K.W 发表于 2015-1-17 14:43
说明你没认真看文章,文里说了微软要求谷歌推迟两天公布等周二更新把漏洞补上,但是谷歌直接公布了出来, ...
谷歌公布bug详情都是在bug被发现的90天以后,这90天内有这么多周二补丁日微软不修复,一定要等到90天限期快到的时候,才要求谷歌推迟公布bug详情?而实际上谷歌公布之后微软立马在那个周二补丁日封堵了漏洞,说明这个补丁微软早就做好了,是什么样的行政流程还是技术问题导致发布一个补丁如此缓慢?
Kevin笃笃
UID.940450
2015-01-17 回复
Quote***链接停止解析***
支持最后的主意,让他们玩玩谷歌的安全
我觉得与其公布谷歌的BUG作为回击手段,不如尽早更新谷歌发现的BUG;这样会让用户感到微软的大气,不屑于同谷歌斤斤计较的同时也表现出微软重视用户将用户摆在第一位的态度。
yejinglove
UID.537312
2015-01-17 回复
Quotesingle888 发表于 2015-1-17 08:43
估计微软反应太慢,谷歌就发布出来让第三方帮忙修复,微软太姜板,非要礼拜二修复。早一天修复就会少一分危 ...
每周二修复的原因就是因为照顾到企业用户
TimChen44
UID.363110
2015-01-18 回复
Quotejamesbean08 发表于 2015-1-17 15:09
谷歌公布bug详情都是在bug被发现的90天以后,这90天内有这么多周二补丁日微软不修复,一定要等到90天限期 ...
这90天是谁定义的?你确定这个漏洞修改不牵涉其他功能,不需要足够的测试时间?否则贸然发布造成更大的漏洞怎么办。