谷歌旗下安全实验室的研究人员会寻找各类系统和软件的错误 , 发现漏洞后开发商会有90天时间对漏洞进行修复。
如果在规定期限内尚未修复这些漏洞的细节将会被公开,当然开发商也可以联系谷歌根据情况寻求提供宽限期等。
谷歌此前已经多次公开微软尚未修复的安全漏洞并遭到前微软高管特里梅尔森的炮轰,不过谷歌对此完全不在乎。
比如现在谷歌又公开Windows 10尚未修复的安全漏洞,有趣的是微软还在纠结这个漏洞是否重要要不要去修复。
根据谷歌说明Windows 10 WFP的某些默认规则允许可执行文件 , 这些可执行文件可连接APP容器的TCP套接字。
因此攻击者可以利用某些规则匹配容器的套接字从而注入恶意代码,谷歌认为微软不应该自动匹配某些容器规则。
本质上这属于规则的滥用,谷歌对该漏洞的评级为低 , 谷歌在 7月8日 私下向微软报告并希望对该漏洞进行修复。
随后微软联系谷歌要求提供宽限期原因是该漏洞太复杂修复需要时间,谷歌研究人员想想似乎确实可以进行宽限。
然后到7月19日微软突然表示该公司根本不会解决这个问题 , 因为想要利用漏洞的话需要容器已经暴露在公网上。
谷歌研究人员转念想想微软说的对啊,虽然漏洞确实可以访问内部地址,但也确实需要暴露在公网上才能被利用。
8月18日 也就是昨天,微软突然联系谷歌又表示该公司准备修复漏洞,微软并没有细说但看起来漏洞还是修复吧。
自七月至今仅仅只有一个多月当然没有达到三个月的披露期限,但谷歌已经提前将这枚漏洞的所有细节给公开了。
所以现在有关这枚漏洞可谓是一团糟,一方面微软先是解决修复然后又说修复,另一方面谷歌突然有将漏洞公开。
当然好消息这枚漏洞的评级依然是低风险所以应该不会带来太大的安全问题,估计微软会在下个月修复这枚漏洞。
有兴趣的用户可以点击这里查看此漏洞全部细节: WFP Default Rules AppContainer Capability Bypass EoP
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/97169.html