谷歌透露了在周二推迟之后未被批量的IE漏洞

发布时间：2022-02-10 09:25:52 所属栏目：要闻来源：互联网

导读：GoogleS项目Zero Team在Internet Explorer中披露了潜在的任意代码执行漏洞，因为Microsoft尚未在谷歌90天披露截止日期内行事。这是Microsoft产品中的第二张缺陷由Google Project Zero公开，因为雷德蒙德巨人周二跳过本月的补丁并推迟其之前计划的安全修复，

Google“S项目Zero Team在Internet Explorer中披露了潜在的任意代码执行漏洞，因为Microsoft尚未在谷歌90天披露截止日期内行事。

这是Microsoft产品中的第二张缺陷由Google Project Zero公开，因为雷德蒙德巨人周二跳过本月的补丁并推迟其之前计划的安全修复，直到3月。

微软归咎于前所未有的决定将预定的安全更新推回上一个月的“最后一刻问题”，这可能对客户产生影响，但公司HASN“T”阐明了问题的本质。有些人推测，问题可能与Windows Update Infrastructure相关，而不是特定的修复，但该公司周二推出了Flash Player安全更新，这表明如果存在基础架构问题，它现在已解决。

新披露的漏洞是一个所谓的型混淆漏洞，影响Microsoft Edge和Internet Explorer，并且可能允许远程攻击者在底层系统上执行任意代码。“没有利用漏洞，但展示崩溃的PoC [概念验证]是”漏洞情报公司危险的安全性的首席研究官Carsten Eiram，通过电子邮件表示。“这位PoC可能为想要开发工作漏洞的人提供良好的起点。谷歌[项目归零]甚至包括关于如何实现代码执行的一些评论。“

基于风险的安全研究人员已经确认了在完全修补的Windows 10系统上对IE11的潜在可利用的崩溃，并为其分配了CVSS严重性分数，将其影响视为潜在的代码。

2月14日，微软宣布宣布推迟2月份补丁的决定后，谷歌项目零披露了Windows“GDI库中的内存泄露漏洞。尚未修补的另一个漏洞是由一名独立的研究员公开披露的。缺陷位于Microsoft“SMB网络文件共享协议的实现中，如果攻击者将其欺骗到Rogue SMB服务器，则可以被利用以崩溃Windows计算机。披露漏洞的研究人员声称微软打算在2月份修补它。

因此，目前在Microsoft产品中有三个零点漏洞，即该公司可能已经计划于2月14日修补，但没有。在内的一些安全研究人员，包括EIRAM，相信微软应该释放它现在已经拥有的补丁等待。

“即使目前没有利用，Microsoft也与他们的用户赌博”安全“，Eiram表示。“如果突然进行突出表面，微软可能必须释放出带外安全更新，强制客户争夺以争夺这些修复程序。通过主动的方式处理它更有意义。“

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!