谷歌发现“最可怕”的Windows远程代码执行漏洞

安全
谷歌 Project Zero 研究员塔维斯·奥曼迪和娜塔莉·西尔万诺维奇,宣称发现了一个Windows高危漏洞。漏洞细节将在90天后公布——无论是否有补丁可用。

谷歌 Project Zero 研究员塔维斯·奥曼迪和娜塔莉·西尔万诺维奇,宣称发现了一个Windows高危漏洞。漏洞细节将在90天后公布——无论是否有补丁可用。

谷歌发现“最可怕”的Windows远程代码执行漏洞

上周末,奥曼迪在推特上宣称,他和西尔万诺维奇发现了近年来最糟糕的Windows远程代码执行漏洞。

这位安全专家并未泄露漏洞具体细节,但他阐明,他们创建的漏洞利用程序对默认Windows安装有效,攻击者甚至不需要与受害者处于同一局域网。同时,他还称该攻击是可以“蠕虫化”的。

尽管没有公布任何技术细节,一些业内人士仍然批评这两位谷歌 Project Zero 研究员公开了漏洞的存在。

如果一条推文就引发了你公司里的恐慌或混乱,问题就不在于那条推文,而在于你的公司。

——娜塔莉·西尔万诺维奇 2017年5月6日

微软发出了以下声明:“Windows向客户承诺调查报告的安全问题,尽快主动升级受影响设备。我们建议客户使用 Windows 10 和 微软 Edge 浏览器以获得最佳防护。”

谷歌通常会给公司90天缓冲期进行漏洞修复再公开漏洞细节,但如果漏洞已经在攻击实例中被利用,那么该最后期限就会缩短至7天。

去年11月,Project Zero 在微软补丁逾期未放出后,公开了某影响Windows内核的零日漏洞。

今年2月,谷歌研究员伊万·弗拉特里克公开了一段概念验证代码,验证的是影响Edge和IE浏览器的严重漏洞。微软在此后数周才修复了该漏洞。

过去几年,谷歌遵循90天原则公开了数个Windows漏洞。2015年2月,鉴于微软和业内其他成员的批评,这家搜索巨头修改了公布策略,但其90天期限依然严格执行。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2011-08-04 13:53:04

2019-11-13 08:44:24

黑客漏洞网络安全

2021-07-16 10:37:14

漏洞网络安全网络攻击

2021-10-31 14:51:02

WinRAR漏洞攻击

2017-12-21 07:47:41

2010-06-11 17:08:05

2017-06-15 17:28:36

2017-06-14 10:02:22

2024-05-27 09:04:05

2021-01-26 10:00:45

漏洞网络安全网络攻击

2015-03-06 15:31:01

2015-04-22 09:18:25

2021-07-27 11:01:02

Windows

2021-07-01 13:22:11

远程代码零日漏洞微软

2024-10-11 16:40:22

2021-04-14 21:40:49

谷歌Chrome浏览器

2012-12-17 09:27:53

软件项目

2022-12-01 14:28:38

2015-04-18 21:00:11

2022-06-01 23:30:04

漏洞网络安全移动攻击
点赞
收藏

51CTO技术栈公众号