http://www.ithome.com.tw/news/109340 2016-11-01發表 只通報10天就公開漏洞！Google以出現攻擊為由，為了向使用者示警，緊急 公開了10天前通報給微軟的一個Windows重大零時差漏洞，但微軟還沒準備 好這個漏洞的修補程式。Google此舉也引發了微軟的不滿。但因此漏洞是 Flash的衍生漏洞，若已更新了Adobe提供的修補程式也可減緩Windows漏洞 的威脅。 Google威脅分析部門研究人員Neel Mehta 和 Billy Leonard指出，這個漏 洞是存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗 屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr()，將視窗樣式參數 GWL_STYLE的數值設為WS_CHILD（子視窗樣式）時，要取得子視窗ID時，就 會一併觸發這個漏洞。簡單來說，就是惡意程式可以在設定應用程式視窗樣 式時，暗中調高惡意程式的權限，繞過安全沙盒防護執行。 Google安全研究人員補充指出，網路上已經出現攻擊程式針對這項漏洞展開 攻擊，也讓本漏洞風險進一步升高，不過該公司表示Chrome的沙盒利用 win32k鎖定防護(lockdown)技術能防堵win32k.sys系統呼叫，可減緩 Windows 10上的攻擊。 Google在10月21日發現該漏洞並通報微軟，卻在僅10天之後即公佈，違反了 安全業界通報修補的90天期限。微軟修補程式此時還在趕製中，Google就將 此漏洞公告天下，此舉也引發微軟的不滿。 微軟發佈聲明批評，「我們向來遵行漏洞公佈上的協同，今天Google片面公 佈漏洞資訊將置客戶於重大風險之中。Windows才是調查經通報的安全問題 及為受影響裝置儘速升級的唯一平台，並提供Windows 10及Microsoft Edge 瀏覽器用戶最佳防護。」 Google同時公佈Adobe Flash的漏洞CVE-2016-7855。Venturebeat引述消息 來源指出，本漏洞是發生前述Windows零時攻擊的必要條件。Adobe已經修補 Flash漏洞，Google人員也呼籲用戶儘速升級，因此，升級Flash可降低 Windows用戶的曝險程度。 自己來不及補漏洞的怪誰 -- 作者 Jpen (日直雙面打) 看板 iPhone 標題 [問題] ipad3 升級到IOS7後沒聲音 時間 Wed Jun 26 18:03:38 2013 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.149.39 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Windows/M.1478052273.A.638.html