谷歌安全专家在Windows中发现一个“糟糕透顶”的漏洞

Google 安全专家又在 Windows 操作系统中发现了一个漏洞,而且这一次看起来情况非常糟糕。Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在上周末宣布了这个“最糟糕”的 RCE 漏洞,但并未披露其它细节和风险:“我们可能刚发现了近段时间里最糟糕的 Windows 远程代码执行漏洞,攻击者们不需要处于同一个局域网中就可以静默安装,这简直是一个虫洞”。

微软方面暂未就此事作出回应,但该公司至少有 90 天的时间窗口去开发修复补丁。如果它未来 3 个月都没能成事,那两位研究人员将把漏洞详情公布在互联网上,这是 Google Project Zero 项目的一贯政策。

其实,这并不是 Google 安全研究人员首次(及近期)在微软产品中发现的漏洞,此前 Google 也曾在“超期”后强行曝露过其它漏洞的详情,比如今年 2 月份时曝光的某个微软浏览器漏洞。

尽管微软在下一个“补丁星期二”中进行了修复,但还是对 Google 强力打脸(公开披露漏洞详情)的行为表示了不满,指责这样会让数百上千万的 Windows 用户处于风险之中。

至于微软能否在下一个“补丁星期二”(就在明天)中修复上周末曝光的这个“糟糕透顶”的漏洞,目前看来仍有待观察。

时间: 2024-11-06 09:41:27

谷歌安全专家在Windows中发现一个“糟糕透顶”的漏洞的相关文章

从WISE Talk科技改变音乐这个活动中发现一个问题

我们从WISE Talk科技改变音乐这个活动中发现一个问题,"音乐和科技的路口,人不多,风也还没来,音乐和科技双方已经发生的关系,比想象中浅薄".这其中的原因,也可能是因为想要入行就不得不面对版权的高门槛,所以这个领域的新点子.好点子会显得不那么多,很少看到让人印象深刻的产品. "这应该是我见过的最简陋的音乐播放器",当我同事果爷看到乐流(iOS和Android)的时候说.我一点儿也不惊讶,因为一句话就能表达乐流的全部功能--"按住手机屏幕的任何一个地方,

RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接的解决方法_win服务器

今天一个客户反映,远程桌面无法连接 ,我看了一下,ping都是正常的,telnet了一下远程端口,也是可以连接的,但是远程桌面却总是连不上,就先帮他重启了一下.重启后,远程可以登入了,就去查看了一下服务器日志,发现了这样一条错误: RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接. 事件类型: 错误 事件来源: TermDD 描述: RDP 的 "DATA ENCRYPTION" 协议组件在协议流中检测到一个错误并且中断了客户机. 这里,RDP,即远程桌面协议.

威胁预警:IBM InfoSphere系列产品中发现多处高危安全漏洞

本文讲的是威胁预警:IBM InfoSphere系列产品中发现多处高危安全漏洞, 近期,网络安全公司SEC Consult披露了影响IBM InfoSphere DataStage以及IBM InfoSphere Information Server等产品的若干个未修复漏洞的详细信息. 据悉,IBM InfoSphere DataStage 是一款强大的基于图形化界面的 ETL 工具,它可以从多个不同的业务系统,多个平台的数据源中抽取数据.转换数据.装载数据到各种目标系统中:而IBM InfoS

攻陷五角大楼:白帽子在美国防御系统中发现超100个安全漏洞

2016年3月,美国政府拿出15万美元与美国最大的漏洞提交平台Hackone合作了一个众测项目--攻陷五角大楼计划.其目的是希望白帽子能够挖掘出目前国防系统中现有的一些网络安全漏洞,并且对其进行修复. 美国国防部发表声明: "这个项目将会在今年四月份对美国本土的白帽子开放,大家可以凭借自己的努力赢到这些奖金." 但是国内的白帽子就别考虑了,因为参加的这个众测的白帽子必须是美国本土公民.注册后和测试前的一段时间内会受到美国政府的安全检查.而且测试的系统也只是模拟搭建的一个环境,所以该测试

Windows中如何获取键盘和鼠标处于空闲状态的时间

本文配套源码 在编写程序的过程中,我遇到了这样的需求:在基于Windows 9x 或 Windows NT4.0 的程序中,要求确定键盘.鼠标处于空闲状态的时间.查询了有关资料文档以后,发现Windows 9x和Windows NT4.0 没有提供API或系统调用来实现这样的功能.但是,在Windows 2000中提供了一个新的函数:GetLastInputInfo(),这个函数使用结构 LASTINPUTINFO 作为参数:LASTINPUTINFO lpi; lpi.cbSize = siz

Windows安全协议现 LDAP & RDP 中继漏洞

这些漏洞让攻击者可破解口令获取Windows凭证. 行为防火墙专家Preempt公司的安全研究人员,在微软 Windows NTLM(NT局域网管理器)安全协议中发现两个关键安全漏洞,一旦被利用,可使攻击者破解口令,获得目标网络凭证. 第一个漏洞(CVE-2017-8563)存在于NTLM中继的LDAP(轻量级目录访问协议)中,第二个漏洞则针对广泛使用的远程桌面协议(RDP)受限管理模式. Preempt共同创始人兼CEO阿基特·桑切蒂称:"威胁态势持续发展,凸显出现有安全协议中存在的漏洞,这2

安全研究人员发现GitHub企业版多个漏洞 并获数万美元奖励

GitHub企业版是GitHub.com的本地版本,组织机构为平均每10个用户支付2500美元的年费.该产品承诺提供企业级别的安全,24/7技术支持.托管选项以及多种GitHub.com上不具备的管理员功能. GitHub企业版版本2.8.5.2.8.6和2.8.7发布于1月份,修复了多个严重和高危缺陷,包括能被用于绕过验证且可远程执行任意代码的漏洞. 安全研究人员发现GitHub企业版多个漏洞 并获数万美元奖励-E安全 发现这些漏洞的研究人员已开始公布研究成果,而来自GitHub和专家自己的消

FBI是否在隐藏一个Firefox零日漏洞?

早在2015年3月美国联邦调查局(FBI)通过在一个称为"Preteen Videos-Girls Hardcore"的暗网建立"钓鱼网站"的方式查获了数百名涉嫌在网络传播儿童色情信息的嫌疑人.FBI表示他们采用了网络调查技术(NIT)来确定Tor网络上匿名用户的地址并抓获了137名嫌疑人. 近日加州国际计算机科学研究所的研究人员则提出了一个疑问FBI是否有可能在该案件中隐藏一个Firefox零日漏洞. 而技术专家Jay Michaud则否认了FBI此前的说法.由于

发现一个.Net中动态加载控件时关于焦点方面的Bug

动态|加载|控件 今天写一个系统框架的时候用到了动态加载,调试的时候发现程序经常会出现死锁的情况,而且死锁的时候还会打开一个"WindowsFormsParkingWindow"后台进程,跑到网上查了半天关于WindowsFormsParkingWindow的资料,结果中文的一篇没找到,蝇文的倒有几篇,对着金山词霸费了九牛二虎之力还没看出个道道来.后来干脆新建了一个项目,只写了几行代码,结果运行的时候发现还是会有死缩的情况: 1.新建一个windows应用程序 2.添加一个UserCo