Edge 用户注意!谷歌披露未打补丁的 Windows 漏洞

谷歌公布了另一个未修补的Windows安全漏洞详细信息,根据谷歌的Project Zero计划政策,该漏洞在通知对方90天后仍然不修补,那么谷歌将公布此漏洞。这一次,漏洞存在于微软Edge和Internet Explorer浏览器的一个模块当中。谷歌工程师Ivan Fratric发布了一个概念证明,这个漏洞可以使浏览器崩溃,为潜在的攻击者获得受影响系统的管理员权限打开了大门。

Fratric说他在Windows Server 2012 R2上对64位版本的Internet Explorer进行了分析,但32位Internet Explorer 11和微软Edge都应受同一漏洞的影响。这意味着Windows 7,Windows 8.1和Windows 10用户都暴露在了同一漏洞当中。

该漏洞在11月25日报告给了微软,根据谷歌Project Zero的政策,该漏洞在2月25日公开,因为微软尚未提供补丁。有趣的是,微软已经推迟了本月应该发布的例行补丁,现在计划在3月14日发布安全更新,但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。

这是Google在短短几个星期内披露的第二个安全漏洞,谷歌还公布了在2016年3月首次向微软报告的gdi32.dll中漏洞详细信息。谷歌Project Zero成员Mateusz Jurczyk试图说服微软在2016年6月修补这个缺陷,但问题只有部分解决,所以在2016年11月向谷歌提交了另一份报告。在3个月的窗口过期后,谷歌公布了此漏洞的细节。

谷歌这次给我们带来了两个不同的安全漏洞,微软尚未推出补丁进行修复,很难相信微软会在3月14日之前外修这些漏洞。

本文来自开源中国社区 [http://www.oschina.net]

时间: 2024-09-17 08:20:32

Edge 用户注意!谷歌披露未打补丁的 Windows 漏洞的相关文章

SOPHOS 2014安全威胁趋势报告之Windows未打补丁风险

从2014年4月开始就不会再发布用于 Windows XP 和 Office 2003 的新补丁.给Windows打补丁将成为诸如POS机和医疗设备等专业市场必须重视的问题. Android和web最近受到了很高的关注.几乎让人遗忘了还有十亿以上的电脑仍在运行Windows系统.虽然微软自动更新工具持续对这些系统打补丁和更新,但令人担忧的差距依然存在.在本节中,我们将重点关注三个方面:微软即将放弃对Windows XP和Office 2003的支持,未打补丁的(POS)系统,针对运行不同版本未打

攻击者利用Flash 0day漏洞发动攻击 CVE-2016-7855 Chrome Edge IE11还未获得补丁

Adobe为Flash Player发布了一个安全更新,修复了一个被用于针对性攻击的重要漏洞(CVE-2016-7855).发现这个漏洞的是谷歌威胁分析团队的Neel Mehta和Billy Leonard.这两位研究员确认,针对Windows 7.8.1.10用户的少数攻击已经利用了CVE-2016-7855漏洞. 根据Adobe发布的安全公告,已有针对性攻击使用了CVE-2016-7855.这是一个使用后释放(use-after-free)漏洞,可被攻击者利用来执行任意代码. Adobe公告

谷歌在微软发布补丁之前披露了Windows的严重漏洞

近日,谷歌威胁分析小组披露了微软Windows内核中一个当前已经被利用的严重漏洞,而微软此前并没有公开发布补丁或提供任何可以降低风险的建议. 实际上,谷歌披露的漏洞依赖两个Bug,一个在Windows内核中,另一个在Adobe Flash中.Adobe已经迅速提供了一个安全补丁,而在谷歌安全工程师决定披露这个漏洞时,微软并没有提供任何建议或修复补丁.谷歌认为,这个漏洞"非常严重",因为它正在被利用.Adobe也表示: 存在一个漏洞CVE–2016–7855,在针对运行Windows 7

安卓新漏洞影响全球9.3亿人用户,谷歌竟然置之不理?

据安全专家TodBeardsley爆料,去年十月份,谷歌官方收到了一个安全漏洞报告,有人发现在安卓4.3版本中,WebView组件中存在漏洞,威胁系统安全. 按照统计,这一漏洞将影响到全球9.3亿人的安卓用户. 然而谷歌的反应令外界吃惊,谷歌工作人员表示,目前无暇顾及,请外界自行开发补丁解决问题. 据报道,谷歌方面表示,因为受影响的安卓系统早于4.4版本,因此谷歌团队一般不会再自行开发补丁,"但是欢迎外界开发的补丁". 谷歌表示,如果安卓4.4版本之前的系统,安全人士的漏洞报告中,如果

YouTube被裁提交用户资料 谷歌面临更多隐私问题

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 在美国一名法官裁定谷歌须向维亚康姆披露有关其用户观看网络视频的资料后,谷歌会面临更多的用户投诉. 法官两天前裁定谷歌须提供有关YouTube上视频观看情况的资料,其中包括用户的登录名或IP地址.谷歌已经因保存用户资料而在美国和欧洲受到广泛批评. 国际隐私权组织主任西蒙·戴维斯表示,谷歌是聪明反被聪明误,它保存这些信息是不必要的,其他人可能会获

你的系统还未打补丁?小心恶意广告攻击

一次恶意广告的活动将数百万用户置于被攻击的风险之下,利用此种新方法传播的Stegano攻击工具包,已经盯上那些未打补丁的系统. 研究人员发现一种早已被发现的攻击工具包正通过一种全新的方法进行传播--它使用图形图像作为武器,能够将数以百万计的用户置于攻击风险之下. ESET研究人员表示最初是在"某一将目标转移到世界不同地区的恶意广告活动中"发现的Stegano攻击工具包.首先是荷兰,随后是捷克,如今在加拿大.英国.澳大利亚.西班牙和意大利也均有发现.ESET表示,该工具包已对"

谷歌捐款未到位 回应款项已全面划拨

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 谷歌今日对外发布声明,针对被某媒体指责质疑Google中国等11家企业承诺的救灾捐款未到位一事,称未到位的200万美元是专用于震后儿童项目,这笔款项已在谷歌内部全面划拨,在震后重建的儿童项目上,公司早已委派专人,专门监督,整体项目已经进入实质性实施阶段, 今日有媒体称,商务部新闻办公室公布的"外商投资企业.跨国公司和港澳台企业向灾区

JBoss漏洞易于传播勒索软件,未打补丁的系统看着办

目前多达320万计算机运行着未打补丁版本的JBoss中间件软件,这意味着这些计算机很容易被用于传播SamSam和其他勒索软件,这也突出了一直存在的未打补丁系统的风险问题.在扫描包含JBoss漏洞的受感染机器后,思科Talos发现超过2100个后门程序被安装在关联近1600个IP地址的系统中. Talos报告称,未打补丁的JBoss正在被一个或多个webshell利用,webshell是可上传到Web服务器并对该服务器进行远程管理的脚本.该报告表明,企业需要对修复生产软件非常警惕. "在这个过程中

美国法院要求谷歌披露“停靠域名”项目信息

北京时间4月12日上午消息,美国一名法官要求谷歌披露有关"停靠域名"(Parked Domain,可以帮助一个网站实现多个域名)和"错误页面"项目的财务信息,因为这类项目会导致广告被发布在没有内容的网站中. 搜索营销人员有可能会对谷歌发起集体诉讼,而上述命令正是由主审该案的法官签署的.这些数据事关谷歌对AdSense网络中的网站质量的评估,包括停靠域名和错误页面. 根据法官的命令,谷歌必须披露AdSense网络中的广告定价标准,以及针对部分AdSense资产制定的广