2013年5月25日 星期六

Google工程師批評微軟難與外人合作,公開Windows零時差漏洞

Google工程師批評微軟難與外人合作,公開Windows零時差漏洞

在5/17的貼文上Tavis Ormandy公布存在Windows win32k.sys的零時差漏洞說,實在沒空理會微軟愚蠢的程式碼,但他也想尋求解決該漏洞的方法。接著Ormandy又在周一再次貼文公布了更多相關的細節。

Google資安工程師Tavis Ormandy抱怨微軟對外部資安研究人員懷有敵意,難以合作,並直接公開一個Windows核心驅動程式的win32k.sys零時差漏洞詳細資料,用戶端程式觸及該漏洞可能導致系統當機或提升程式可用權限。

微軟資安部門發言人Dustin Childs周三透過電子郵件向美國媒體承認,微軟知道一個潛在的問題會影響Windows,已經就此展開研究。他聲稱還未出現任何針對此漏洞的攻擊活動,但微軟會採取適當的行動來保護客戶,不過他沒有回覆媒體的其它相關問題。

Tavis Ormandy早在今年三月就在GitHub討論該漏洞,並徵求其他資安專家協助,不過那些資料都已經移除。在上周五(5/17)的貼文上他說,實在沒空理會微軟愚蠢的程式碼,但他也想尋求解決該漏洞的方法。接著Ormandy又在周一再次貼文公布了更多相關的細節。

資安專家認為,該漏洞的確可以讓用戶端軟體提升使用權限,但遠端程式無法利用此漏洞,因此風險較小。但也有專家認為,雖然該漏洞不能被遠端攻擊程式所用,影響仍非常嚴重。

資安公司Secunia的安全通告則指出,他們已經驗證該漏洞會影響已經安裝所有更新程式的Windows 7 Pro,並認為Windows 8與其他版本也可能受到影響。Secunia說明該漏洞會產生DoS攻擊或讓攻擊者的權限提升。Secunia給的為「較不危急」(Less critical)的威脅等級。

Tavis Ormandy在2010年曾經因為揭露微軟XP漏洞及概念驗證的攻擊程式而遭受批評,當時他只給微軟五天的時間修補漏洞。

轉載自《iThome》

沒有留言:

張貼留言