新浪微博 登陆  注册   设为首页 加入收藏

学PHP >> IT最新资讯 >> 谷歌玩真的?披露Windows“零日漏洞”

谷歌玩真的?披露Windows“零日漏洞”

查看次数2864 发表时间2013-06-05 14:07:24

谷歌上月底曾表示,在发现零日漏洞并告知相关开发商后,如果7天内还没有修复或告知用户防护措施,那么就支持发现漏洞者公布相关细节,以使用户自己想办法避免遭到攻击。而近日,谷歌安全专家Tavis Ormandy在发现Wi...
谷歌上月底曾表示,在发现零日漏洞并告知相关开发商后,如果7天内还没有修复或告知用户防护措施,那么就支持发现漏洞者公布相关细节,以使用户自己想办法避免遭到攻击。

而近日,谷歌安全专家Tavis Ormandy在发现Windows中存在的一个提权漏洞,他并没有报告给微软,反而是在Full Disclosure邮件列表中公布了相关细节现在他又在同样的地方公布了利用漏洞的方式

该漏洞存在于Windows内核EPATHOBJ::pprFlattenRec函数中,任何人都可以利用该漏洞获得系统管理员权限。

发现漏洞后,Ormandy将其贴到了邮件列表中,并表示“没有太多的空闲时间来处理微软这些愚蠢的代码”,同时他还征集利用漏洞的方法。通过用户的帮助,Ormandy开发出了一个利用漏洞提升特权的方式,并共享在邮件列表中,同时他还表示,目前还有另外一个漏洞利用方法在流通。

对此,微软表示正在寻找解决办法,将“采取适当措施”来保护其客户。但没有说当前漏洞是否已经关闭,也没有告知用户应采取何种措施以避免遭到攻击。

这不是Ormandy第一次干这种事情了,三年前,Ormandy就因为披露微软漏洞,遭到微软的公开谴责

Via h-online
(转发请注明转自:学PHP)    


  相关推荐




  发表评论
昵称:
(不超过20个字符或10个汉字)
内容: