日前，谷歌公司披露了另一個(gè)Windows零日漏洞，因?yàn)槲④浌旧形茨苄迯?fù)這個(gè)漏洞，這也是1月內(nèi)第三次谷歌的Project Zero發(fā)布關(guān)于未打補(bǔ)丁Windows漏洞的細(xì)節(jié)。

[[127142]]

這個(gè)最新的零日漏洞已被證實(shí)存在于Windows 7和8.1中，它影響著函數(shù)CryptProtectMemory，這可能允許進(jìn)程間的內(nèi)存共享和登錄會(huì)話ID提取。

根據(jù)Project Zero對(duì)該漏洞的描述，“GNG.sys中的部署在捕捉登錄會(huì)話id時(shí)不會(huì)檢查令牌的模擬水平，這樣普通用戶就可以模擬鑒定水平，并解密或加密該登錄會(huì)話的數(shù)據(jù)。”

Project Zero最早在10月17日向微軟報(bào)告了該漏洞，從這一天就開(kāi)始進(jìn)入谷歌90天公開(kāi)披露的最后期限倒計(jì)時(shí)，谷歌稱如果在這個(gè)時(shí)間內(nèi)沒(méi)有“廣泛可用的補(bǔ)丁”，漏洞報(bào)告將會(huì)自動(dòng)發(fā)布。

根據(jù)谷歌Project Zero問(wèn)題跟蹤網(wǎng)站的跟進(jìn)文章顯示，微軟曾計(jì)劃將該漏洞的補(bǔ)丁作為2015年1月星期二補(bǔ)丁修復(fù)的一部分，但由于兼容性問(wèn)題而推遲?，F(xiàn)在這個(gè)補(bǔ)丁計(jì)劃將包含在2015年2月星期二補(bǔ)丁修復(fù)中，而谷歌對(duì)該漏洞的披露可能讓W(xué)indows用戶在那之前處于威脅之中。

雙方都需要承擔(dān)責(zé)任

谷歌因其自動(dòng)披露政策而遭到抨擊，微軟稱補(bǔ)丁修復(fù)已經(jīng)在處理中，沒(méi)必要讓用戶處于危險(xiǎn)之中。安全供應(yīng)商Veracode公司首席技術(shù)官兼首席信息安全官Chris Wysopal對(duì)這個(gè)漏洞將造成多大的威脅發(fā)出了警告。

Wysopal表示：“目前尚不清楚攻擊者將如何利用這個(gè)漏洞。對(duì)于初學(xué)者來(lái)說(shuō)，這是一個(gè)本地漏洞，這沒(méi)有遠(yuǎn)程利用漏洞那么嚴(yán)重。但它可能被用于權(quán)限提升，這意味著攻擊者可能利用該漏洞來(lái)在企業(yè)系統(tǒng)安裝網(wǎng)絡(luò)間諜或僵尸惡意軟件。”

Wysopal認(rèn)為谷歌可能要重新考慮其發(fā)布零日漏洞報(bào)告的政策，并稱每個(gè)規(guī)則都會(huì)有例外情況，當(dāng)對(duì)于補(bǔ)丁不能在截止日期前發(fā)布有著很好的解釋時(shí)，谷歌應(yīng)該延遲公布報(bào)告。

“谷歌的90天披露期限很不好，他們貌似沒(méi)有考慮漏洞能否在90天內(nèi)安全地修復(fù)，”安全供應(yīng)商Bit9公司解決方案架構(gòu)師Matt Larsen表示，“微軟不能按時(shí)修復(fù)補(bǔ)丁也不好，或者更糟糕的情況是，補(bǔ)丁存在技術(shù)問(wèn)題。”

Larsen表示，雙方都需要承擔(dān)更多責(zé)任，專注于更大的利益，否則對(duì)雙方都不好，而且在這個(gè)過(guò)程中用戶還會(huì)受到傷害。