谷歌透露了在周二延迟之后未被批量的IE漏洞
亚特萨斯人搬迁以整合其Trello收购
沃达丰准备LTE月亮拍摄 - 字面上
FCA警告,在不与欧盟分享数据的情况下无法管理财务犯罪风险
Windows 10,2月边缘使用寿命稳定
尽管有安全福利,PCI DSS合规性均落下
ARRIVA ITSM实施超出了预期
Facebook,Microsoft使用新的AI服务器设计更快的服务更快
微软扩展了通过专利许可的连接车推送
近40%的IT专业人士表示,公司不是解决多样性
英特尔的移动未来是在它埋葬原子失败时燃烧的调制解调器
苹果:Mac和iPhone是从新透露的CIA漏洞中安全的安全
Mingis关于Tech:瘦身上的自驾车,无线iPhone充电和Wi-Fi灯
IT部门建议瑞典政府对选举和投票制度
Minn。警方寻求谁忘了受害者姓名的数据
谷歌的Jamboard将花费5,000美元并送到美国5月份
内阁办公室将私有云交易扩展到UKFAST维护紧急通讯
奥卡多如何扰乱自己的模型
VMware首次亮相AWS在澳大利亚的VMware云,削减了入口价格
LastPass修复了严重的密码泄漏漏洞
IFG报告说,Cunnington作为DDAT需要改变的功能负责人的角色
IBM-Salesforce交易将使Watson数据带入应用程序
荷兰医疗保健机构需要像科技部门一样思考
CIA Wikileaks Dump Bares IOS安全弱点后,Cisco问题批判性警告
利亚姆麦克斯韦互动政府
优步拒绝索赔它偷走了Waymo的自动驾驶汽车技术
Microsoft通过Scratch取代了用于安装Windows 7的复杂技术
计算机崩溃可能是由于我们太阳系超出的力量
北爱尔兰部署患者门户
GDPR案例工作沼泽丹麦的数据保护机构
苹果说,泄露的icloud凭据来自第三方来了
Google Cloud平台为世界杯风扇提供更快的移动通知
Apple,SAP为iOS发布“开发人为中心”的工具
DFT承诺将在2022年度在中小企业花费三分之一的采购预算
公共云使用DDOS攻击者之间的潮流,研究表演
Android 8.0'O' - 我们到目前为止所知道的
C ++ Toolkit有助于缩短AI应用程序的路径
谷歌面临土耳其新的反垄断调查
CIO采访:Ian Cohen,Global Cio,Addison Lee
这是谷歌云支持的为什么每人定价
Apple面临着亚马逊的强烈竞争
Telefonica-Sigfox Pact是各种IOT网络的大量
商业领袖期望供应商确保他们是网络安全
Facebook'不喜欢'按钮 - 仅限Messenger?
CIO引发了与Brexit相关的开发人员技能出炸的疑虑
TSB CEO经过几个月的问题
艾伦图灵研究所为AI创业公司提供了与研究人员合作的机会
东盟公司需要克服Devops障碍
技术国家启动计划展示了英国金融气的丰富性
Android的下一个目的地:使用Snapdragon 835无法阻止VR耳机
您的位置:首页 >电子新闻 >

谷歌透露了在周二延迟之后未被批量的IE漏洞

2021-08-11 19:43:50 [来源]:

Google“S项目Zero Team在Internet Explorer中披露了潜在的任意代码执行漏洞,因为Microsoft尚未在谷歌90天披露截止日期内行事。

这是Microsoft产品中的第二张缺陷由Google Project Zero公开,因为雷德蒙德巨人周二跳过本月的补丁并推迟其之前计划的安全修复,直到3月。

微软归咎于前所未有的决定将预定的安全更新推回上一个月的“最后一刻问题”,这可能对客户产生影响,但公司HASN“T”阐明了问题的本质。

有些人推测,问题可能与Windows Update Infrastructure相关,而不是特定的修复,但该公司周二推出了Flash Player安全更新,这表明如果存在基础架构问题,它现在已解决。

新披露的漏洞是一个所谓的型混淆漏洞,影响Microsoft Edge和Internet Explorer,并且可能允许远程攻击者在底层系统上执行任意代码。

“没有利用漏洞,但展示崩溃的PoC [概念验证]是”漏洞情报公司危险的安全性的首席研究官Carsten Eiram,通过电子邮件表示。“这位PoC可能为想要开发工作漏洞的人提供良好的起点。谷歌[项目归零]甚至包括关于如何实现代码执行的一些评论。“

基于风险的安全研究人员已经确认了在完全修补的Windows 10系统上对IE11的潜在可利用的崩溃,并为其分配了CVSS严重性分数,将其影响视为潜在的代码。

2月14日,微软宣布宣布推迟2月份补丁的决定后,谷歌项目零披露了Windows“GDI库中的内存泄露漏洞。

尚未修补的另一个漏洞是由一名独立的研究员公开披露的。缺陷位于Microsoft“SMB网络文件共享协议的实现中,如果攻击者将其欺骗到Rogue SMB服务器,则可以被利用以崩溃Windows计算机。披露漏洞的研究人员声称微软打算在2月份修补它。

因此,目前在Microsoft产品中有三个零点漏洞,即该公司可能已经计划于2月14日修补,但没有。在内的一些安全研究人员,包括EIRAM,相信微软应该释放它现在已经拥有的补丁等待。

“即使目前没有利用,Microsoft也与他们的用户赌博”安全“,Eiram表示。“如果突然进行突出表面,微软可能必须释放出带外安全更新,强制客户争夺以争夺这些修复程序。通过主动的方式处理它更有意义。“

软件供应商“对每月补丁周期的承诺是可以理解的,因为它为客户提供了他们的客户,”需要在需要应用安全更新时具有一些可预测性。然而,EIRAM认为,粘贴到这些周期,永远不应该具有比及时解决安全固定的优先级。

“微软始终保留在必要时释放带外安全更新的权利,即使没有可用的利用现在,现在也是必要的,”他说。“有三个已知的,未斑纹的漏洞,其中至少有一个具有代码执行潜力。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。