原标题:Google再度公开未修补的微软漏洞
Google旗下专门寻找零时差攻击漏洞的Project Zero团队上周再度藉由自动系统揭露了多个微软Windows平台的安全漏洞,相关漏洞出现在EMF(Enhanced Metafile)纪录处理DIBs(Device Independent Bitmaps,装置无关位元映像档)时,可能曝露系统上的机密资料。
根据该团队的说明,微软曾在2016年6月释出的MS16-074修补了有关的漏洞,当时微软宣称这些漏洞将允许骇客绕过ASLR(位址空间配置随机载入)的安全机制,导致机密资料外洩,若搭配其他漏洞则可造成程式攻击。
然而,Project Zero却发现,MS16-074并未有效修补所有漏洞,仍有部份漏洞门户大开,该团队还打造了概念性验证程式,只要利用含有恶意EMF档案的.docx文件,就能从在地端的Internet Explorer或远端的Office Online展开攻击,取得诸如使用者资料或虚拟位址空间等机密资讯。
由于Project Zero採用的是自动化的揭露机制,因此在去年的11月16日提报了该漏洞之后,系统自动在90天后(2/14)公开了漏洞资讯。
2014年的12月30日,Project Zero也曾透过自动公开机制对外公布微软Windows平台的零时差安全漏洞,当时惹来了微软的抨击与外界的谴责,促使Google修改揭露政策,指出若揭露日期遇到假日,将会顺延到工作天,同时也允许软体业者申请额外的14天宽限期。
不过,14天的揭露宽限期对现在的微软来说并无太大帮助,微软上周已宣布要把应该在2月14日释出的例行性安全更新延后到3月14日。
Google旗下的另一个威胁分析部门(Threat Analysis Group)也在去年10月底公开了一个才提报10天的微软漏洞,微软在表达不满之余,亦很快地就在11月的例行性安全更新中修补了该漏洞。
相关:
bnt新闻讯韩国女子组合少女时代成员太姸将发行首张正规专辑。此次的正规专辑“MyVoice”由展现太姸实力唱功的主打歌“Fine”,以及抒情曲、流行R&B、PBR&B等全新、多种风格的歌曲构成,备受粉丝期待。20日,太姸还通
bnt新闻讯韩国实力派歌手朴元与歌手兼演员秀智的合唱曲即将发表。19日晚,朴元与秀智的合唱曲“不要等待”的预告照公开,引发众人热议。公开的照片中,在被温暖的阳光照射着的咖啡馆中,抱着吉他的朴元和穿着优雅红色
bnt新闻讯韩国电影“ThePrison”确定于3月23日上映,第二版海报公开。“ThePrison”讲述了在监狱中一手遮天的老大与前任刑警之间发生的故事。在此次公开的海报中,一众罪犯堂堂正正地从监狱中走出。尤其是走在罪犯前
bnt新闻讯20日,韩国tvN电视台新剧“她爱上了我的谎”公开了李玹雨的“现场独裁者”剧照。在公开的照片中,李玹雨认真检查演唱会彩排现场的样子吸引视线。李玹雨将所有的感官都集中在了听觉上,并认真地看着舞台,严
资安业者:Android for Work含有两个中间程式攻击漏洞
以色列资安业者Skypcure技术长Yair Amit本周揭露了Android for Work含有两个中间程式攻击(app-in-the-middle)漏洞,将允许安装在个人档案(Personal profile)的恶意程式窃取来自工作档案(Work profile)的资讯,