谷歌再曝Windows8.1漏洞,微软怒了

标签: 资讯 Google Project Zero Windows8.1 权限提升漏洞 | 发表时间:2015-01-15 01:19 | 作者:JackFree
出处:http://www.freebuf.com

在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升。谷歌一系列的漏洞公布惹怒了微软。

谷歌拒绝延期

短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了。根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息。不过令人好奇的是,在去年11月份,微软请求谷歌推迟漏洞公布日期,理由是他们打算在2015年2月份修复该漏洞。

但是,谷歌拒绝了微软的请求,理由是这不符合他们的漏洞公布策略。于是微软决定在2015年1月修复该漏洞,但谷歌仍旧拒绝推迟该漏洞的公布,即使推迟2天也不行。

关于Windows漏洞

谷歌安全研究人员确认该漏洞同样影响Windows 7系统,并提供了一个POC(概念验证),来展示如何利用该漏洞对Windows8.1系统进行攻击。谷歌 报告中说:

“当用户登录到计算机时,系统会调用用户配置文件服务来创建特定的目录并挂载用户注册表Hive文件(普通账户没有该权限)。在理论上,除了加载Hive文件之外,特权账户需要做的唯一事情就是创建基础配置文件目录。这应该是安全的,因为在C:\目录下创建文件需要管理员权限才可以。配置文件存放在注册表中HKLM路径下,所以不会受到影响。

然而,在针对冒充情况的处理方式中似乎存在缺陷,配置文件路径中的最初几个资源文件是在用户令牌下创建的,但这种处理方式使得其能够成功地冒充本地系统文件。任何冒充本地系统而被创建的资源文件都可能被用来进行权限提升。需要注意的是,它并不是只发生在初始化本地配置文件时,而是在用户每次登录他们的账户时都会发生。”

微软:这是对用户的不负责任

微软公开批评了谷歌的漏洞公布政策。

微软安全响应中心高级主管Chris Betz在 博文中说“谷歌完全没必要公布该漏洞的细节,因为微软已经计划在2015年1月13日发布系统更新。这是对用户的不负责任。 与其说漏洞公开策略谷歌公司的原则,但更像是一个错误,一个最终让用户受害的错误。谷歌认为正确的事对客户来说并不一定正确。

针对此事,我们很难发表意见。尽管按照漏洞公布政策办事能够促使公司尽快修复漏洞,但是针对这类事情我们不得不给以相应的时间容忍,特别是当面临技术问题时,必须花费足够的时间仔细分析才能避免回归错误。

[参考来源 SecurityAffairs,译/实习编辑JackFree,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

相关 [谷歌 windows8 漏洞] 推荐:

谷歌Chrome操作系统被曝存在多个漏洞

- 龍渊冭子 - cnBeta.COM
据国外媒体报道,两位研究人员今天表示发现Chrome OS系统存在多个漏洞,并通过这些漏洞破解该系统. 当谷歌在几年前最先开始谈论其Chrome OS软件的时候,其中一个卖点是承诺该系统的内置安全保护将优于其他操作系统. 现在,尽管Chrome OS仅仅上市几个月,安全专家已经掌握破解该操作系统的方法.

Android漏洞影响99%设备 谷歌提供补丁程序

- - TechWeb 今日焦点 RSS阅读
  新浪科技讯 北京时间7月9日晚间消息,国外媒体周一报道称,谷歌已经开发出了移动网络安全公司Bluebox Security所发现的重大Android漏洞的补丁程序,并已将其提供给OEM厂商.   Bluebox Security上周四表示,在Android操作系统中发现重大安全漏洞. 该漏洞允许黑客将当前99%的应用转变为特洛伊木马程序,可能影响到99%的Android设备.

谷歌再曝Windows8.1漏洞,微软怒了

- - FreeBuf.COM | 关注黑客与极客
在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升. 谷歌一系列的漏洞公布惹怒了微软. 短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了. 根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息.

谷歌称已经修复很多被CIA利用的漏洞

- - cnBeta.COM
昨天“维基解密”网站发布了美国中央情报局(CIA)文件黑客项目的数千份文件. 据外媒报道,谷歌公司今天表示,其已经修复了遭曝光CIA文件中确定的Chrome和Android平台中的很多漏洞. 在谷歌提供给 Recode的一份声明中,歌信息安全主管海泽・阿德金斯(Heather Adkins)表示,谷歌“认为Chrome和Android中的安全更新和保护已经组织了许多这些所谓的漏洞”,其针对剩余漏洞的分析仍在进行,谷歌还将“实施任何进一步必要的保护举措”.

微软Windows8的崛起之战

- 洞箫 - cnBeta.COM
“Slate:书写用的板子”、“Milestone:里程碑”,作为微软最新一代操作系统Windows8的正式商标名称和RTM版本注解,清晰地展现了微软在平板电脑及泛移动设备市场中所寄予的深切期望.

虚拟机Oracle VM VirtualBox安装windows8

- - 牛B博客 niub.us
昨天晚上微软公布了Windows 8 Release Preview下载地址:. 中文(简体)32 位 (x86)(2.48 GB) http://iso.esd.microsoft.com/WRPDL/D29D6C5B1D8AF956B5DA9DF738CFD92DFD4F6C8FB/Windows8-ReleasePreview-32bit-ChineseSimplified.iso.

苹果保密设置竟然被谷歌钻漏洞,怎么回事?

- - 最科技 | 关注互联网科技与应用创新的TMT媒体
谷歌钻苹果Safari 浏览器的保密设置漏洞,FTC(联邦商务委员会)对谷歌罚款2250万美元. 苹果的用户访问不同网站时,苹果Safari浏览器默认设置会阻止第三方网站跟踪,但谷歌(和一些其他不正规的公司)利用漏洞,追踪第三方网站. 苹果保密设置竟然被谷歌钻漏洞,怎么回事. 谷歌设置浏览器的cookies(存储在用户的计算机内的小文件),能记住用户浏览过的Web,然后使用它 收集个性化广告信息.

Windows8资源占用极低 最低端本可运行

- Adam - cnBeta.COM
北京时间9月14日零点,微软在加利福尼亚召开BUILD大会,Windows和Windows Live部门总裁Steven Sinofsky表示,Windows8系统资源占用极低,即便是最低端的笔记本也可以流畅运行.

[评论]Windows8 - 微软的后发先至 还是强弩之末?

- 哥 - cnBeta.COM
北京时间9月14日凌晨1点,Microsoft公司举行了一场名为Build 2011的开发者大会,展会的主角是其下一代桌面操作系统――Windows 8,这款被微软定义为改变一切的系统到底起到什么样的作用呢. 下面从几个方面简要分析一下Windows 8系统对于微软本身及整个PC行业的影响意义.

vbox虚拟机安装Windows8 WDP全过程

- GTC1412 - cnBeta.COM
Windows8已经可以下载啦,详见Windows 8 Developer Preview 已经开始提供下载,下面提供安装过程. 虚拟机:vbox 64位 运行环境:Windows7 安装版本:Windows Developer Preview English, 32-bit (x86).