<small id="hjex1"></small>

        <tbody id="hjex1"></tbody>
      1. <menuitem id="hjex1"></menuitem>
        <menuitem id="hjex1"></menuitem>

          安基網 首頁 資訊 安全報 查看內容

          Google 員工公開 Windows 10 零日漏洞隱藏 Bug!

          2019-6-20 18:21| 投稿: xiaotiger |來自: 互聯網


          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

          摘要: 今年3月,Google員工Tavis Ormandy曾對外披露了Chrome瀏覽器中存在的零日漏洞——該漏洞允許黑客使用瀏覽器中加載的惡意PDF文檔來獲取個人數據,彼時Google官方曾表示修復方案會在4月底發布。然而在 90 天的修復截止日期后,微軟安全響應中心(MSRC)卻在6月11日表示“由于測試中發現問題,在7月前也不 ...

          今年3月,Google員工Tavis Ormandy曾對外披露了Chrome瀏覽器中存在的零日漏洞——該漏洞允許黑客使用瀏覽器中加載的惡意PDF文檔來獲取個人數據,彼時Google官方曾表示修復方案會在4月底發布。

          然而在 90 天的修復截止日期后,微軟安全響應中心(MSRC)卻在6月11日表示“由于測試中發現問題,在7月前也不會修補好”,于是Ormandy在近日選擇公開了零日漏洞隱藏的一個新Bug:該漏洞可以讓黑客們輕松地拆除整個Windows機群,且微軟仍處于可能被攻擊的狀態!

          作者 | Davey Winder

          譯者 | 虎說,責編 | 郭芮

          以下為譯文:

          Tavis Ormandy是Google“Project Zero”團隊的一名安全研究人員,該團隊主要負責尋找零日漏洞。近期,其公開了一個可被黑客利用的Windows漏洞(https://bugs.chromium.org/p/project-zero/issues/detail?id=1804)。而截止發稿時,微軟仍處于可能被攻擊的狀態。

          Tavis Ormandy發推文說他已經發現了Windows核心加密庫的安全問題,并在推文中提到“微軟曾經承諾在90天內修復它,但是并沒有兌現。”“由于沒有兌現當初的承諾,并且為了鼓勵尋找更多的安全大牛來解決這個軟件安全問題,所以才會將問題公開。”

          什么漏洞?

          這個漏洞實際上是SymCrypt中的一個錯誤。

          SymCrypt是負責在Windows 10中實現非對稱加密算法和Windows 8中的對稱加密算法的核心加密庫。Ormandy發現,通過使用格式錯誤的數字證書,他可以強制SymCrypt算法進入無限循環。這將有效地對Windows服務器執行拒絕服務(DoS)攻擊,例如運行使用VPN或Microsoft Exchange Server進行電子郵件和日歷時所需的IPsec協議的服務。

          Ormandy還指出,“許多處理不受信任內容的軟件(如防病毒軟件)會在不受信任的數據上調用這些例程,這將導致它們陷入死循環。”盡管如此,他還是將其視為低嚴重性漏洞,同時補充說:“你可以相對輕松地攻破整個Windows機群,因此應該值得注意。”Ormandy發布的公告還提供了漏洞的詳細信息以及可能導致拒絕服務的示例格式錯誤的證書形式的概念驗證。

          為什么現在發布漏洞?

          如前所述,Project Zero有90天的披露截止日期,這種機制同樣適用于此漏洞。Ormandy于3月13日首次報道,然后在3月26日,微軟確認并且發布安全公告,并在6月11日上線補丁對此進行了修復。

          Ormandy指出,“我認為微軟還是沒有履行90天內修復漏洞的承諾,但是目前的延長期還是可以接受的。”但是到了6月11日,Ormandy得知微軟安全響應中心(MSRC)已經決定,修補程序今天不會發布,而且由于測試中發現了諸多問題,甚至到了7月份也有可能發布不了!因為上述的種種原因,所以Ormandy選擇公開了這個漏洞。

          安全社區對此事件的想法是什么?

          我找到了一個備受尊敬的信息安全專業人士The Beer Farmers,并且在最近的BSides倫敦會議上看到了他對此的看法。

          John Opdenakker表示,“一般情況下,如果你私下向公司披露漏洞并且公司同意在合理的時間內修復漏洞,我認為如果他們沒有按時修復漏洞,公平披露它是公平的。”而另外一個專業人士Mike Thompson不同意這一點,他告訴我,“如果供應商已經承認了這個錯誤,并承諾會在不久的將來修復它,但需要更多的時間,那么全面披露可能不是一個合理的舉動。這可能會讓Adobe和微軟失去信譽,對它們的品牌塑造也會造成打擊。”

          我對這件事怎么想?

          披露截止日期會給組織帶來壓力,并且促使他們迅速修復安全漏洞。畢竟,在研究人員披露這些漏洞后,有太多的漏洞被遺漏了。不得不說,谷歌不能因為某些特權而逃避批評。

          雖然在發現和修復漏洞時,Chrome等產品會根據需要不斷更新,但這并不適用于所有的Google產品,比如Gmail和谷歌日歷的安全問題就是一個很好的例子。我在2017年首次向Google報告,但是,我報告的安全問題今天仍然存在。

          回到Microsoft Windows問題,Project Zero認為90天的時間,可以讓微軟這樣規模的擁有充足資源的組織實現修復并完成所有測試。不得不說的是,微軟最近有很多壞消息是由于更新補丁導致Windows 10出現漏洞甚至破壞其他Windows安全功能。

          在這種情況下,微軟希望在發布修復程序之前做到完美是可以理解的,但是就我個人認為,微軟有足夠的時間對問題進行排查和測試。如果微軟需要更多的時間來處理在測試過程中出現的問題,我認為這是完全不合理的。

          原文:https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-before-microsoft-can-fix-it/#3b6528542fd6

          本文為 CSDN 翻譯,轉載請注明來源出處。

          【End】

          大會開幕倒計時10天!

          2019以太坊技術及應用大會特邀以太坊創始人V神與眾多海內外知名技術專家齊聚北京,聚焦區塊鏈技術,把握時代機遇,深耕行業應用,共話以太坊2.0新生態。

          掃碼或點擊閱讀原文,既享優惠購票!



          小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

          本文出自:https://mbd.baidu.com/newspage/data/landingsuper?context={

          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


          鮮花

          握手

          雷人

          路過

          雞蛋

          相關閱讀

          最新評論

           最新
          返回頂部
          北京赛车高手经验分享 体彩十二生肖时时彩 山东十一选五稳赚玩法 快乐双彩新浪走势图 广东时时彩开奖结果走势图 青海快3走势图基本走势号码统计 澳洲幸运5历史开奖记录查询表 黑龙江22选5基本走势图表 广告扑克 百度集团单双中特投资 时时彩河南十一选五开奖结果 福建36选7第11058期 再现特码料 缅甸赌场美女图 海南飞鱼彩票直播 黑龙江时时彩开奖