颛孙薰
2019-05-22 01:14:01
发布时间2016年11月1日下午4:52
2016年11月1日下午4:52更新

菲律宾马尼拉 - 谷歌于10月31日星期一 - 以前公开未知的漏洞 - 需要Adobe和微软的关注。

谷歌在10月21日告诉Adobe和微软有关这些漏洞的信息,在公开披露这些问题之前给了他们10天的时间来修复漏洞。

虽然Adobe在5天内更新了Flash - Flash问题的常见漏洞和暴露(CVE)编号为 - ,微软尚未公布其漏洞修补程序的可用性。

这引起了人们的关注,因为Google表示Windows漏洞已经在野外被利用。

Google将Windows漏洞解释为“Windows内核中可以用作安全沙箱转义的本地权限升级。可以通过win32k.sys系统调用NtSetWindowLongPtr()触发窗口句柄上的索引GWLP_ID,并设置GWL_STYLE到WS_CHILD.Chrome的沙箱使用Windows 10上的Win32k锁定缓解来阻止win32k.sys系统调用,这可以防止利用这个沙箱逃逸漏洞。“

应该注意的是,更新Flash可能比更新操作系统更省时。 谷歌的政策 - 提供7天的交付时间来修复关键漏洞 - 对科技公司来说也是一个痛处,因为编写代码,测试代码,然后向用户发布补丁需要时间。

指出微软发言人的一份声明称,“我们相信协调的漏洞披露,今天Google的披露会让客户面临潜在的风险,”

该发言人补充说:“Windows是唯一一个客户承诺调查报告的安全问题并尽快主动更新受影响设备的平台。我们建议客户使用Windows 10和Microsoft Edge浏览器以获得最佳保护。”

但是,微软尚未就安全漏洞补丁的日期线发布信息。

Venturebeat称 ,接近该公司的消息人士表示,Google提到的漏洞需要Adobe Flash漏洞。 由于Flash的补丁,Windows漏洞得到了缓解。

微软仍然需要修补这个问题,因为保持该问题的活跃性可以让它在未来的攻击中使用。 - Rappler.com