您的位置:首页 >金融 >

Google研究员将丢弃Windows 10零日安全炸弹

2019-06-13 11:16:03来源:

一名安全研究人员是Google的“Project Zero”团队的一员,负责寻找零日漏洞,该公司已经公开了一个可利用的Windows漏洞,微软仍处于攻击过程中。Tavis Ormandy发推文说他已经发现了Windows核心加密库的安全问题,揭示了“微软承诺在90天内修复它,然后没有。”由于没有达到零项目的最后期限来解决这些问题,其部分目的是为了鼓励更多的资源应用于软件安全,Ormandy接着说:“今天是第91天,所以问题现在已经公开了。”

有什么漏洞?

它实际上是SymCrypt中的一个错误,SymCrypt是负责在Windows 10中实现非对称加密算法和Windows 8中的对称加密算法的核心加密库.Ormandy发现,通过使用格式错误的数字证书,他可以强制SymCrypt计算进入无限循环。这将有效地对Windows服务器执行拒绝服务(DoS)攻击,例如运行使用VPN或Microsoft Exchange Server进行电子邮件和日历时所需的IPsec协议的服务。

Ormandy还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。”尽管如此,他还是将其评为低严重性漏洞,同时补充说:“你可以相对轻松地拆除整个Windows机群,因此值得注意。”Ormandy发布的公告提供了漏洞的详细信息以及可能导致拒绝服务的示例格式错误的证书形式的概念验证。

为什么现在发布漏洞?

如前所述,Project Zero有90天的披露截止日期,这适用于此漏洞。这是Ormandy于3月13日首次报道,然后在3月26日,微软确认将发布安全公告,并在6月11日的补丁星期二运行中对此进行修复。Ormandy指出,“我认为这是91天,但在延长期内,所以它是可以接受的。”延长期是允许具有固定修补计划的公司(如Microsoft)的延长期。

6月11日,Ormandy表示,微软安全响应中心(MSRC)已经“伸出手,并指出该修补程序今天不会发布,并且由于测试中发现问题而在7月发布之前不会准备好。”因为这意味着91天了,Ormandy公开了这个漏洞。

更广泛的安全社区的想法是什么?

我找到了一群备受尊敬的信息安全专业人士The Beer Farmers,最近在最近的BSides伦敦会议上看到了他们对此的看法。John Opdenakker表示,“一般情况下,如果您私下向公司披露漏洞并且公司同意在合理的时间内修复漏洞,我认为如果他们没有按时修复漏洞,公平披露它是公平的。”而Mike Thompson不同意这一点,告诉我,“如果供应商已经承认了这个错误,并承诺用一个计划来修复它,但需要更多的时间,那么进行全面披露将不是我所做的举动。”伊恩桑顿 - 特朗普同意并说,“这就是Google Project Zero过去在Adobe和微软失去了很多信誉的活动。”

我将最后的话留给Sean Wright,他指出这是一个拒绝服务漏洞,还有很多其他方法可以实现这一点,这使得它成为一个低严重性问题。“就我个人而言,我觉得它有点苛刻,”赖特说,“每一种解决办法都是不同的,他们应该在截止日期前保持一定的灵活性。”

我怎么想?

我可以看到披露截止日期的价值,这会给组织带来压力,要求他们迅速修复安全漏洞。毕竟,在研究人员披露这些漏洞后,有太多的漏洞被遗漏了。不得不说谷歌不能因为落入这一类别而无法逃避一些批评。

虽然在发现和修复漏洞时,Chrome等产品会根据需要不断更新,但对于所有Google产品而言,并非如此。在Gmail和谷歌日历的安全问题我写的只是昨天是一个很好的例子。这是2017年首次向Google报告,但今天仍然是一个安全问题。

但是,回到这个Microsoft Windows问题,可以认为Project Zero 90天截止日期足够时间让这个规模的资源充足的组织能够实现修复并应用确保它所需的所有测试。在不影响用户的其他方面工作。我需要提醒你的是,微软最近有很多当之无愧的坏消息是由于更新和补丁导致Windows 10冻结甚至打破其他Windows安全功能吗?

在这种情况下,微软希望在发布修复程序之前做到这一点是可以理解的。是的,我确实认为有足够的时间对问题进行排序和测试,但如果微软需要更多的时间来处理在测试过程中出现的问题,那么我认为这完全不合理,特别是例如,要稍微灵活一些。

但最终,所有这些都离开了用户?Sean Wright解释说,为了利用这一点,攻击者需要让受害者机器连接到攻击系统。因此要么让服务器以某种方式连接到攻击系统,这在实践中是非常困难的。或者执行中间人攻击,这在实践中又相当困难。“这不是我会失去任何睡眠的东西,”赖特总结道。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

猜你喜欢