|恶意代码| |0Day漏洞|

谷歌又双叒叕曝光Windows的0day漏洞，微软很不开心

发布时间:2016-11-04 13:59 作者:kuma 来源:FreeBuf.COM 点击:加载中...次

　　谷歌近日再次曝光Windows 0day漏洞，称该漏洞可影响所有现行的Windows操作系统，而微软还没来得及修复。

根据谷歌团队发布的博文，该漏洞是一个本地提权漏洞，可以让攻击者逃过沙盒过滤，获得管理员权限，并执行恶意代码。

　　It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其实，10天前谷歌就已经将此漏洞上报给微软。既然已经提交微软团队，谷歌为何在短短数日之后又将之公开？

　　漏洞已被利用

“上周五，也就是10月21日，我们报告了(此前未公开的)两个0day漏洞分别给Adobe和微软。Adobe在10月26日更新了Flash，修补了CVE-2016-7855漏洞；此次更新可通过Adobe更新程序和Chrome自动更新实现。”

7天之后，谷歌团队发现Windows系统中依然存在谷歌上报的高危漏洞，并且微软没有发布任何安全公告或者补丁。同时，谷歌团队发现此漏洞正被积极利用，俄罗斯APT黑客组织Strontium，也就是Fancy Bear，正利用此漏洞部署“小规模”攻击，此组织也是美国民主党全国委员会(DNC)被黑事件的重点怀疑对象，这一信息也得到了微软的确认。

因此，谷歌认为此漏洞特别严重。于是谷歌团队将此漏洞公开，该举动符合谷歌在2013年制定的产品漏洞披露信息相关政策：

我们建议，厂商在60天内修复高危漏洞，如果无法修复，厂商也应知会公众风险相关信息，并提供变通方案。如果厂商需要更多时间修复漏洞，我们鼓励研究人员发布自己的相关发现。但是，根据我们的经验，我们认为对于高危的、正被积极利用的漏洞，厂商应在7天内采取更加紧急的措施。

　　7天的时限比较紧迫，对于某些厂商而言，如果要更新产品，7天可能有些短。但是，厂商发布可能的缓解措施，比如临时关闭某项服务、限制访问或者联系厂商获取更多信息，7天是足够的。因此，如果7天之后，厂商未提供补丁或建议，我们将支持研究者公开细节，以便用户采取防范措施。

谷歌团队认为公开漏洞有两大好处：1、可让用户至少知晓问题的存在；2、可以敦促开发者发布补丁。

　　谷歌不是第一次这么干了

谷歌工程师特别擅长寻找微软软件里的漏洞：在2010年6月，谷歌工程师发现了一个Windows高危漏洞，只给了微软5天响应时间，5天后，工程师将漏洞细节发布在网上(其中包括一个示例攻击代码)；去年1月，谷歌Project Zero在给微软提交漏洞信息后，给了微软90天期限修复，但微软没有在期限内修复，于是谷歌就曝光了漏洞细节。具体事件FreeBuf也曾报道过，详情请戳这里。

当时，微软的高级总监Chris Betz就曾喊话谷歌：“我们请谷歌与我们合作，等到1月13日我们发布补丁时，再公布漏洞细节，以保护客户。”他认为谷歌顽固执行其90天期限，不像是坚守原则，更像是套路，最后受伤的都是客户。“谷歌认为正确的，对客户来说不一定就是对的。我们敦促谷歌，将保护客户作为我们的首要共同目标。”

此话一出，谷歌方面重新考量自己的Project Zero，修改了披露规则，在原有90天的基础上又宽限了14天(详细情况请点这里)。

　　微软：不开心

对于谷歌此次的曝光，微软肯定是不开心了，他们指责谷歌欺骗网民，混淆事实。微软首先在一篇声明当中回应：

　　“我们认为公开漏洞时应互相配合，谷歌此番公开漏洞，将客户置于风险之中。”

微软官方随后针对攻击事件在11月1日发布了安全公告：

“近日，微软威胁情报称为Strontium的活动组织，发动了一次小流量鱼叉式钓鱼攻击。我们已经得知，使用Windows 10 周年更新版上的Microsoft Edge的用户不会受到此次攻击的影响。此次攻击，最初由谷歌威胁分析小组发现，利用的是Adobe Flash的两个0day漏洞和Windows的底层内核，针对特定的客户群体。”