http://www.ithome.com.tw/news/109340 2016-11-01发表 只通报10天就公开漏洞！Google以出现攻击为由，为了向使用者示警，紧急 公开了10天前通报给微软的一个Windows重大零时差漏洞，但微软还没准备 好这个漏洞的修补程式。Google此举也引发了微软的不满。但因此漏洞是 Flash的衍生漏洞，若已更新了Adobe提供的修补程式也可减缓Windows漏洞 的威胁。 Google威胁分析部门研究人员Neel Mehta 和 Billy Leonard指出，这个漏 洞是存在於Windows核心的本机权限升级漏洞。只要透过设定程式画面视窗 属性的win32k.sys系统函式呼叫NtSetWindowLongPtr()，将视窗样式参数 GWL_STYLE的数值设为WS_CHILD（子视窗样式）时，要取得子视窗ID时，就 会一并触发这个漏洞。简单来说，就是恶意程式可以在设定应用程式视窗样 式时，暗中调高恶意程式的权限，绕过安全沙盒防护执行。 Google安全研究人员补充指出，网路上已经出现攻击程式针对这项漏洞展开 攻击，也让本漏洞风险进一步升高，不过该公司表示Chrome的沙盒利用 win32k锁定防护(lockdown)技术能防堵win32k.sys系统呼叫，可减缓 Windows 10上的攻击。 Google在10月21日发现该漏洞并通报微软，却在仅10天之後即公布，违反了 安全业界通报修补的90天期限。微软修补程式此时还在赶制中，Google就将 此漏洞公告天下，此举也引发微软的不满。 微软发布声明批评，「我们向来遵行漏洞公布上的协同，今天Google片面公 布漏洞资讯将置客户於重大风险之中。Windows才是调查经通报的安全问题 及为受影响装置尽速升级的唯一平台，并提供Windows 10及Microsoft Edge 浏览器用户最佳防护。」 Google同时公布Adobe Flash的漏洞CVE-2016-7855。Venturebeat引述消息 来源指出，本漏洞是发生前述Windows零时攻击的必要条件。Adobe已经修补 Flash漏洞，Google人员也呼吁用户尽速升级，因此，升级Flash可降低 Windows用户的曝险程度。 自己来不及补漏洞的怪谁 -- 作者 Jpen (日直双面打) 看板 iPhone 标题 [问题] ipad3 升级到IOS7後没声音 时间 Wed Jun 26 18:03:38 2013 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.134.149.39 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Windows/M.1478052273.A.638.html