谷歌再曝Windows8.1漏洞,微软怒了

标签: 资讯 Google Project Zero Windows8.1 权限提升漏洞 | 发表时间:2015-01-15 01:19 | 作者:JackFree
分享到:
出处:http://www.freebuf.com

在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升。谷歌一系列的漏洞公布惹怒了微软。

谷歌拒绝延期

短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了。根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息。不过令人好奇的是,在去年11月份,微软请求谷歌推迟漏洞公布日期,理由是他们打算在2015年2月份修复该漏洞。

但是,谷歌拒绝了微软的请求,理由是这不符合他们的漏洞公布策略。于是微软决定在2015年1月修复该漏洞,但谷歌仍旧拒绝推迟该漏洞的公布,即使推迟2天也不行。

关于Windows漏洞

谷歌安全研究人员确认该漏洞同样影响Windows 7系统,并提供了一个POC(概念验证),来展示如何利用该漏洞对Windows8.1系统进行攻击。谷歌 报告中说:

“当用户登录到计算机时,系统会调用用户配置文件服务来创建特定的目录并挂载用户注册表Hive文件(普通账户没有该权限)。在理论上,除了加载Hive文件之外,特权账户需要做的唯一事情就是创建基础配置文件目录。这应该是安全的,因为在C:\目录下创建文件需要管理员权限才可以。配置文件存放在注册表中HKLM路径下,所以不会受到影响。

然而,在针对冒充情况的处理方式中似乎存在缺陷,配置文件路径中的最初几个资源文件是在用户令牌下创建的,但这种处理方式使得其能够成功地冒充本地系统文件。任何冒充本地系统而被创建的资源文件都可能被用来进行权限提升。需要注意的是,它并不是只发生在初始化本地配置文件时,而是在用户每次登录他们的账户时都会发生。”

微软:这是对用户的不负责任

微软公开批评了谷歌的漏洞公布政策。

微软安全响应中心高级主管Chris Betz在 博文中说“谷歌完全没必要公布该漏洞的细节,因为微软已经计划在2015年1月13日发布系统更新。这是对用户的不负责任。 与其说漏洞公开策略谷歌公司的原则,但更像是一个错误,一个最终让用户受害的错误。谷歌认为正确的事对客户来说并不一定正确。

针对此事,我们很难发表意见。尽管按照漏洞公布政策办事能够促使公司尽快修复漏洞,但是针对这类事情我们不得不给以相应的时间容忍,特别是当面临技术问题时,必须花费足够的时间仔细分析才能避免回归错误。

[参考来源 SecurityAffairs,译/实习编辑JackFree,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

相关 [谷歌 windows8.1 微软] 推荐:

谷歌再曝Windows8.1漏洞,微软怒了

- - FreeBuf.COM | 关注黑客与极客
在微软还未来得及发布漏洞补丁时,谷歌Project Zero小组再次公布了Windows8.1系统的又一新漏洞,该漏洞可导致权限提升. 谷歌一系列的漏洞公布惹怒了微软. 短短几周,这已经是谷歌精英团队公布的有关Windows8.1系统的第二个漏洞了. 根据谷歌的漏洞公布策略,谷歌是在等待了90天之后才公布了此漏洞的细节信息.

谷歌指控微软必应抄袭谷歌搜索

- kezonet - 月光博客
  据Google官方博客报道,谷歌通过一系列实验证明,微软通过IE浏览器、必应工具栏等手段监测用户的谷歌搜索行为,并借用这些信息改进微软必应(Bing)搜索结果,谷歌因而指控微软必应搜索引擎抄袭谷歌的网络搜索结果.   谷歌研究员阿密特·辛格哈尔(Amit Singhal)在这篇博文中指出,谷歌注意到,在用户输入拼写错误的情况下,必应搜索结果与谷歌搜索结果显示的网站惊人地相似.

《财富》杂志:谷歌是否已患上微软综合症?

- jumpstone - cnBeta.COM
美国知名财经杂志《财富》网络版今天刊登美国媒体公司Wetpaint联合创始人兼CEO本・ 埃洛维茨(Ben Elowitz)的评论文章,称谷歌Gmail及谷歌地图等早期产品具备较大独立性,而该公司最新产品却试图与搜索等核心产品相整合,这就使得谷歌面临着 患上“微软综合症”(Microsoft Syndrome)的风险.

18项摩托专利可助谷歌还击苹果微软

- jumpstone - cnBeta.COM
北京时间8月22日消息,据彭博社报道,谷歌斥资125亿美元收购摩托罗拉移动可以获得后者超过1.7万项专利,其中有18项专利对于谷歌来说至关重要,因为这些专利曾让苹果和微软相继受挫. 谷歌可以利用这18项专利使Android平台免于成为起诉对象.

微软安全软件误报谷歌浏览器为病毒

- 小趴 八足趴 八足 ramener - 月光博客
  据谷歌支持论坛的用户在周五反馈,微软Security Essentials安全软件早间将谷歌Chrome浏览器误报为病毒,并将用户的Chrome浏览器卸载. 不过微软稍后发布了补丁程序修复了这个问题.   周五上午,有用户发现Microsoft Security Essentials向用户发出警告,称Chrome浏览器中存在病毒“PWS:Win32/Zbot”.

微软谷歌Mozilla携手推SSL补丁

- Mao.. - ITeye资讯频道
据国外媒体报道,微软、谷歌和Mozilla开发者将合力解决SSL加密漏洞,防止黑客拦截SSL通信以解码. TLS 1.0是目前使用最广泛的安全加密协议,研究者最近发现了一个存在于TLS 1.0的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

Mozilla 2012年新战略:挑战微软谷歌生态系统

- - TechWeb 今日焦点 RSS阅读
Mozilla试图利用开放的Web来挑战封闭的生态系统.   导语:Mozilla周日公布了2012年发展战略,Mozilla认为,网民的敌人就是苹果、谷歌、亚马逊和微软等竞争对手建立的由设备、操作系统、应用商店和应用组成的封闭生态系统,而Mozilla的使命就是利用开放的Web来挑战这些封闭的生态系统.

谷歌战胜微软和苹果的“秘密武器”

- - 最科技 | 关注互联网前端科技与应用的资讯博客
谷歌战胜微软和苹果的“秘密武器”. 谷歌一直在不断创新,巩固自己的行业地位,扩大业务范围. 日前,谷歌又与摩托罗拉合并,那么谷歌未来是否会战胜微软和苹果平台呢. 据国外媒体报道, 摩托罗拉移动公司CEO Sanjay Jha努力实现了技术工业领域最困难的事情. 他在一次新闻发布会上使人们感到震惊.

微软-苹果-谷歌-用户体验准则

- - BlueUI
细致的MICROSOFT. 哪些重要的“小事“是经常会碰到的. 用户第一眼看到的东西能够让人觉得它用户体验很棒吗. 要解决的是让人分心的事,而不是可发现性. 下列方法不能解决糟糕的可发现问题:. 这个功能是否能让用户自己来表述元素. 个性化是需要成为新的功能,还是可以利用现有的功能和信息(如用户的位置、背景图片或排列方式).

回顾2012:谷歌应用程序冲击微软

- - 最科技 | 关注互联网科技与应用创新的TMT媒体
尽管微软近来一直在努力反击谷歌应用程序的攻势,但是用户依然受这个搜索巨头的牵引. 而在以前,用户从来没有想过能够使用微软Outlook和Office之外的产品. 《纽约时报》在圣诞节做出一个关于云服务产品现状的报告,报告中指出,Google Apps未来发展之势一片大好,新用户如瑞士制药公司Hoffmann-La Roche以及美国Interior Department,这些公司的80000到90000员工现在都使用谷歌推出一系列办公软件,包括在线文字处理、协作、电子邮件、短信、视频会议以及备份工工具.