近日,谷歌威胁分析小组披露了微软Windows内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议。
实际上,谷歌披露的漏洞依赖两个Bug,一个在Windows内核中,另一个在Adobe Flash中。Adobe已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁。谷歌认为,这个漏洞“非常严重”,因为它正在被利用。Adobe也表示:
存在一个漏洞CVE–2016–7855,在针对运行Windows 7、8.1和10的用户发起的有限攻击中被利用。
在谷歌披露以后,微软已经公开确认了该漏洞,并承诺在11月8日提供一个“经过许多业内人士测试”的补丁。微软执行副总裁Terry Myerson还提供了一些有关Strontium的更详细的信息,这是一个以利用漏洞而闻名的组织:
Strontium是一个活跃的组织,通常以政府机构、外交机构和军事组织及其附属的私营部门组织(如国防承包商和公共政策研究机构)为目标。[……它]会在几个月里一直不断地研究特定的目标,直到他们成功地攻陷受害人的计算机。一旦攻入,STRONTIUM会在受害者的网络里横向移动,尽可能地深挖战壕,确保他们可以持久地访问和窃取敏捷信息。
在Myerson看来:
在漏洞的补丁尚未经过广泛的测试并可用的情况下,谷歌就披露了这些漏洞,这让人失望,也将客户置于了更危险的境地。
谷歌提前披露漏洞符合谷歌自己的披露策略,要让公司有60天的时间可以修复严重的漏洞,但对于已经被利用的漏洞,则需要在7天内采取行动,要么修复,要么提出可以降低风险的建议。谷歌认为,尽早披露可以让用户在成为攻击目标之前采取防护措施。
在刚刚发表的声明中,微软对谷歌披露漏洞的时间点表示了指责。他们指出,由于所涉环境的多样性,“响应安全漏洞是一个复杂、广泛、耗时的过程”。多位安全研究人员所表达的截然不同的观点反映出了两家公司的不同立场
本文转自d1net(转载)
