项目零 Team披露了一个新的未斑点的Windows 8漏洞

Google Project Zero Team披露了一种影响Windows 8.1系统的新的未染色漏洞,释放出Microsoft的披露政策。

谷歌 项目零 黑客团队披露了Microsoft Windows 8.1操作系统中新的未分割Windows 8.1权限升级漏洞的详细信息。

这是第二个缺陷 Windows 8.1 OS. 在几个星期内,Elite Google团队公开披露,在这种情况下,专家们在遵守其披露政策的漏洞细节之前等待了90天。很奇怪地注意到11月,微软要求谷歌延长截止日期,因为它计划在2015年2月修复该错误,但谷歌遵守其政策。微软决定在1月份解决漏洞,但谷歌再次拒绝甚至延长披露截止日期。

win8

专家还确认Windows 7系统受到缺陷的影响,专家还提供了一个 概念验证(POC) 显示如何利用Windows 8.1对实际攻击中的安全漏洞。

“当用户登录计算机时,用户配置文件服务用于创建某些目录并安装用户蜂巢(作为普通用户帐户无法执行此操作)。在 理论 唯一需要在特权账户(加载荨麻疹)下的唯一方法正在创建基本配置文件目录。这应该是安全的,因为 C:用户 需要管理员权限要创建。配置文件位置的配置在HKLM中,因此无法受到影响,“读取 报告 issued by Google.

“然而,它处理了冒充的方式似乎是一个错误,在用户的令牌下创建了配置文件中的前几个资源,但这种改变了对本地系统的巨大方式。在模拟本地系统的同时创建的任何资源可能会被利用才能提升特权。请注意,每次用户登录其帐户时都会发生这种情况,IT是’该公司补充说,只有在本地配置文件的初始配置过程中发生的事情。

微软批评了谷歌披露政策,微软安全响应中心高级总监Chris Betz,专家解释说,没有理由披露缺陷的细节,因为Microsoft计划在1月13日发布安全更新。

“CVD哲学和行动今天作为一家公司播放– Google –已经发布了有关Microsoft产品中漏洞的信息,在我们计划修复我们众所周知的和协调补丁周二Cadyence之前,在我们的众所周知和协调的补丁周二的节奏之前,尽管我们的要求他们避免这样做。具体而言,我们要求谷歌与我们合作,通过扣留细节来保护客户,直到1月13日星期二,我们将释放修复。” 写道 Betz.

“虽然通过透露谷歌的宣布时间表持续披露,但决定感觉不像原则,更像是一个”哥哥“,而且客户可能会受到影响的人。谷歌的权利并不总是适合客户。我们敦促谷歌对客户保护我们的集体主要目标,“ 写道 Betz.

难以向案例表达意见,尽管尊重剥夺公司固定缺陷的披露政策是正确的,但它必须考虑到这样的案件可能的容忍度,特别是当存在必须仔细的技术时分析以避免回归错误。

皮奈里格帕加尼尼



全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请