Google揭示Windows 10中的主要漏洞

Google揭示Windows 10中的主要漏洞

Googles威胁分析组最近发现了Adobe Flash和Microsoft Windows内核中的一些有害漏洞,这些漏洞正在积极地用于对Chrome浏览器的恶意软件攻击。Google已于10月21日向微软公布10天之后公开发布Windows的安全漏洞。Google还指出,攻击者和编码人员可以积极地使用这种缺陷,通过使用恶意软件获取对计算机的管理员级访问,从而危及Windows系统的安全性。

这可以通过允许不太诚实的开发人员从Windows的安全沙箱逃脱,只执行用户级应用程序,而不需要管理员访问。win32k的技术性更深入了一下。sys,一个主要用于图形的旧版支持Windows系统库,发出一个特定的调用,可以完全访问Windows环境。谷歌浏览器已经有了一个防御机制,这种缺陷,并阻止了对Windows 10的这种攻击,对Chromium沙盒的修改称为“Win32k锁定”。

Google描述了这个特定的Windows漏洞,如下

Windows漏洞是Windows内核中可用作安全沙箱逃脱的本地权限升级。它可以通过win32k触发。sys系统调用NtSetWindowLongPtr()用于GWL_STYLE设置为WS_CHILD的窗口句柄上的索引GWLP_ID。Chrome的沙盒拦截win32k。sys系统调用在Windows 10上使用Win32k锁定减轻功能,这样可以防止这种沙盒逃脱漏洞的利用。

尽管这不是谷歌首次遇到Windows安全漏洞,但他们发布了一个关于漏洞的公开声明,后来我的微软公布了发布公开说明之前的七天限制,授予软件制造商发布修正。

WE RECOMMEND点击免费扫描您的电脑的恶意软件“这个漏洞是特别严重的,因为我们知道它正在被积极利用。“

A零日漏洞是用户公开披露的安全漏洞。而现在七天的时间已经过去了,微软还没有针对这个bug提供修补程序。

Google与Adobe分享的Flash漏洞(也在10月21日披露)在10月26日被修补。所以用户可以简单地更新到最新版本的Flash。但是再一次,Microsoft已经积极地指出,对于像Flash这样的简单网络插件,在七天内发布补丁并不是一个具有挑战性的目标,但对于像Windows这样的复杂操作系统,几乎不可能对代码,测试和发布补丁在一周内出现安全漏洞。

不仅仅是微软,而是许多其他主要的软件实体已经积极地反对这个有争议的政策,谷歌在一个星期内揭露漏洞,但是Google坚持认为公共安全对于持续存在可能危及用户安全的错误意识更为安全。

."

管理员

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: