首页 > 安全资讯 > 行业动态 > 正文

谷歌安全实验室将继续公布win10尚未修复的安全漏洞的细节

蓝点网 山外的鸭子哥 2020-12-24 14:10:15

由于微软超过90天+14天的披露期限,谷歌旗下安全实验室将继续公布Windows 10里已被利用的安全漏洞细节。

按谷歌规定漏洞自通报日起供应商有 90 天的期限进行修复,如果实在修复不了可以额外申请14天延长披露时间。

在此前微软其实已经超过几次披露期间导致漏洞在未被修复的情况下,漏洞细节直接公开在网上提供所有人查看。

现在还有两枚新的安全漏洞而且还是涉及内核级别的漏洞细节也将被公开,因为微软还是来不及对漏洞进行修复。

谷歌安全实验室将继续公布win10尚未修复的安全漏洞的细节

从5月修到明年1月:

2020年5月卡巴斯基安全实验室的研究人员发现攻击者在野外使用提权漏洞,可配合IE浏览器远程代码执行漏洞。

这两枚安全漏洞经过评估都属于零日漏洞 ,在通报给微软后微软在6月份发布的安全更新中对漏洞进行初步修复。

但有研究人员发现微软修复方法并不彻底,因此攻击者仍然可以通过发送偏移量而不是指针来对内核进行提权等。

研究人员表示原本漏洞是因为指针引起,但微软将指针修改为偏移量,这导致攻击者仍然可以控制函数发起攻击。

也就是说微软修复了个寂寞,漏洞本质上并没有改变也没有被修复,攻击者还是可以利用这枚漏洞进行内核提权。

明年1月才能彻底修复:

在发现问题后研究人员又将漏洞通报给微软,微软隔日确认漏洞存在,同时分配的漏洞编号是CVE-2020-17008

该漏洞的通报时间是2020年9月24日,微软原计划在2020 11月份的累积更新中对相关参数进行修改封堵该漏洞。

但后来进行测试时发现还有新问题,结果微软又将漏洞修复时间推迟到明年年初,这导致漏洞时间将会自动超期。

按谷歌政策90天披露期再加上14天的额外延长时间最多到 2021年1月6日,而微软的累积更新将在1月12日发布。

显然这个日期无法满足披露期因此漏洞细节都会被公开,目前研究人员已经提前公布相关演示代码可以触发漏洞。