谷歌透露了在周二延迟之后未被批量的IE漏洞
Google“S项目Zero Team在Internet Explorer中披露了潜在的任意代码执行漏洞,因为Microsoft尚未在谷歌90天披露截止日期内行事。
这是Microsoft产品中的第二张缺陷由Google Project Zero公开,因为雷德蒙德巨人周二跳过本月的补丁并推迟其之前计划的安全修复,直到3月。
微软归咎于前所未有的决定将预定的安全更新推回上一个月的“最后一刻问题”,这可能对客户产生影响,但公司HASN“T”阐明了问题的本质。
有些人推测,问题可能与Windows Update Infrastructure相关,而不是特定的修复,但该公司周二推出了Flash Player安全更新,这表明如果存在基础架构问题,它现在已解决。
新披露的漏洞是一个所谓的型混淆漏洞,影响Microsoft Edge和Internet Explorer,并且可能允许远程攻击者在底层系统上执行任意代码。
“没有利用漏洞,但展示崩溃的PoC [概念验证]是”漏洞情报公司危险的安全性的首席研究官Carsten Eiram,通过电子邮件表示。“这位PoC可能为想要开发工作漏洞的人提供良好的起点。谷歌[项目归零]甚至包括关于如何实现代码执行的一些评论。“
基于风险的安全研究人员已经确认了在完全修补的Windows 10系统上对IE11的潜在可利用的崩溃,并为其分配了CVSS严重性分数,将其影响视为潜在的代码。
2月14日,微软宣布宣布推迟2月份补丁的决定后,谷歌项目零披露了Windows“GDI库中的内存泄露漏洞。
尚未修补的另一个漏洞是由一名独立的研究员公开披露的。缺陷位于Microsoft“SMB网络文件共享协议的实现中,如果攻击者将其欺骗到Rogue SMB服务器,则可以被利用以崩溃Windows计算机。披露漏洞的研究人员声称微软打算在2月份修补它。
因此,目前在Microsoft产品中有三个零点漏洞,即该公司可能已经计划于2月14日修补,但没有。在内的一些安全研究人员,包括EIRAM,相信微软应该释放它现在已经拥有的补丁等待。
“即使目前没有利用,Microsoft也与他们的用户赌博”安全“,Eiram表示。“如果突然进行突出表面,微软可能必须释放出带外安全更新,强制客户争夺以争夺这些修复程序。通过主动的方式处理它更有意义。“
软件供应商“对每月补丁周期的承诺是可以理解的,因为它为客户提供了他们的客户,”需要在需要应用安全更新时具有一些可预测性。然而,EIRAM认为,粘贴到这些周期,永远不应该具有比及时解决安全固定的优先级。
“微软始终保留在必要时释放带外安全更新的权利,即使没有可用的利用现在,现在也是必要的,”他说。“有三个已知的,未斑纹的漏洞,其中至少有一个具有代码执行潜力。”