谷歌給了微軟當(dāng)頭一擊，在微軟補(bǔ)丁尚未就位之前就披露了Windows漏洞侦铜。該漏洞可被攻擊者利用來獲取管理員權(quán)限专甩。

根據(jù)谷歌團(tuán)隊發(fā)布的博文，該漏洞是一個本地提權(quán)漏洞泵额，可以讓攻擊者逃過沙盒過濾配深，獲得管理員權(quán)限携添，并執(zhí)行惡意代碼嫁盲。

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其實，10天前谷歌就已經(jīng)將此漏洞上報給微軟烈掠。既然已經(jīng)提交微軟團(tuán)隊羞秤，谷歌為何在短短數(shù)日之后又將之公開？

漏洞已被利用

“上周五左敌，也就是10月21日瘾蛋，我們報告了（此前未公開的）兩個0day漏洞分別給Adobe和微軟。Adobe在10月26日更新了Flash矫限，修補(bǔ)了CVE-2016-7855漏洞哺哼；此次更新可通過Adobe更新程序和Chrome自動更新實現(xiàn)佩抹。”

7天之后取董，谷歌團(tuán)隊發(fā)現(xiàn)Windows系統(tǒng)中依然存在谷歌上報的高危漏洞棍苹，并且微軟沒有發(fā)布任何安全公告或者補(bǔ)丁。同時茵汰，谷歌團(tuán)隊發(fā)現(xiàn)此漏洞正被積極利用枢里，俄羅斯APT黑客組織Strontium，也就是Fancy Bear蹂午，正利用此漏洞部署“小規(guī)睦覆颍”攻擊，此組織也是美國民主黨全國委員會（DNC）被黑事件的重點懷疑對象豆胸，這一信息也得到了微軟的確認(rèn)奥洼。

因此，谷歌認(rèn)為此漏洞特別嚴(yán)重晚胡。于是谷歌團(tuán)隊將此漏洞公開溉卓，該舉動符合谷歌在2013年制定的產(chǎn)品漏洞披露信息相關(guān)政策：

我們建議，廠商在60天內(nèi)修復(fù)高危漏洞搬泥，如果無法修復(fù)桑寨，廠商也應(yīng)知會公眾風(fēng)險相關(guān)信息，并提供變通方案忿檩。如果廠商需要更多時間修復(fù)漏洞尉尾，我們鼓勵研究人員發(fā)布自己的相關(guān)發(fā)現(xiàn)。但是燥透，根據(jù)我們的經(jīng)驗沙咏，我們認(rèn)為對于高危的、正被積極利用的漏洞班套，廠商應(yīng)在7天內(nèi)采取更加緊急的措施肢藐。

7天的時限比較緊迫，對于某些廠商而言吱韭，如果要更新產(chǎn)品吆豹，7天可能有些短。但是理盆，廠商發(fā)布可能的緩解措施痘煤，比如臨時關(guān)閉某項服務(wù)、限制訪問或者聯(lián)系廠商獲取更多信息猿规，7天是足夠的衷快。因此，如果7天之后姨俩，廠商未提供補(bǔ)丁或建議蘸拔，我們將支持研究者公開細(xì)節(jié)师郑，以便用戶采取防范措施。

谷歌團(tuán)隊認(rèn)為公開漏洞有兩大好處：1.可讓用戶至少知曉問題的存在调窍；2.可以敦促開發(fā)者發(fā)布補(bǔ)丁呕乎。

谷歌不是第一次這么干了

谷歌工程師特別擅長尋找微軟軟件里的漏洞：在2010年6月，谷歌工程師發(fā)現(xiàn)了一個Windows高危漏洞陨晶，只給了微軟5天響應(yīng)時間猬仁，5天后，工程師將漏洞細(xì)節(jié)發(fā)布在網(wǎng)上（其中包括一個示例攻擊代碼）先誉；去年1月湿刽，谷歌Project Zero在給微軟提交漏洞信息后，給了微軟90天期限修復(fù)褐耳，但微軟沒有在期限內(nèi)修復(fù)诈闺，于是谷歌就曝光了漏洞細(xì)節(jié)。具體事件FreeBuf也曾報道過铃芦，詳情請戳這里雅镊。

當(dāng)時，微軟的高級總監(jiān)Chris Betz就曾喊話谷歌：“我們請谷歌與我們合作刃滓，等到1月13日我們發(fā)布補(bǔ)丁時仁烹，再公布漏洞細(xì)節(jié)，以保護(hù)客戶咧虎∽跨郑”他認(rèn)為谷歌頑固執(zhí)行其90天期限，不像是堅守原則砰诵，更像是套路征唬，最后受傷的都是客戶∽屡恚“谷歌認(rèn)為正確的总寒，對客戶來說不一定就是對的。我們敦促谷歌理肺，將保護(hù)客戶作為我們的首要共同目標(biāo)摄闸。”

此話一出哲嘲，谷歌方面重新考量自己的Project Zero贪薪，修改了披露規(guī)則，在原有90天的基礎(chǔ)上又寬限了14天（詳細(xì)情況請點這里）眠副。

對于谷歌此次的曝光，微軟肯定是不開心了竣稽，他們指責(zé)谷歌欺騙網(wǎng)民囱怕，混淆事實霍弹。微軟首先在一篇聲明當(dāng)中回應(yīng)：

“我們認(rèn)為公開漏洞時應(yīng)互相配合，谷歌此番公開漏洞娃弓，將客戶置于風(fēng)險之中典格。”

微軟官方隨后針對攻擊事件在11月1日發(fā)布了安全公告：

“近日台丛，微軟威脅情報稱為Strontium的活動組織耍缴，發(fā)動了一次小流量魚叉式釣魚攻擊。我們已經(jīng)得知挽霉，使用Windows 10 周年更新版上的Microsoft Edge的用戶不會受到此次攻擊的影響防嗡。此次攻擊，最初由谷歌威脅分析小組發(fā)現(xiàn)侠坎，利用的是Adobe Flash的兩個0day漏洞和Windows的底層內(nèi)核蚁趁，針對特定的客戶群體∈敌兀”

微軟發(fā)言人也表示并不是所有Windows版本都受到了影響：

“谷歌將這個本地提權(quán)漏洞描述為‘高嗡眨’、‘特別嚴(yán)重’庐完，我們并不同意钢属。因為他們描述的攻擊場景，在上周Adobe Flash更新部署后就已經(jīng)全面緩解了门躯。另外署咽，我們的分析認(rèn)為，這種攻擊針對Windows 10周年更新是無效的生音，因為先前我們就已經(jīng)對系統(tǒng)進(jìn)行了安全方面的加強(qiáng)宁否。”

Windows執(zhí)行副總Terry Myerson則表示谷歌的行為“令人失望”缀遍。Myerson認(rèn)為慕匠，Strontium黑客組織利用谷歌報告的漏洞發(fā)動的魚叉式釣魚攻擊是很有限的，因此大部分Windows用戶都沒有成為攻擊目標(biāo)域醇，谷歌不必如此著急將漏洞公開台谊。

Myerson表示，微軟將在下周二譬挚，也就是Patch Tuesday發(fā)布時锅铅，修復(fù)此漏洞。Myerson還建議用戶在等待補(bǔ)丁的同時减宣，先將系統(tǒng)升級為Windows 10盐须，以免受到進(jìn)一步攻擊。

本文轉(zhuǎn)自FreeBuf.COM

記得加入粉絲群：①384182116（已滿）

②301520254

實驗吧微信公眾號：shiyanbar