時間:2017-10-23 來源:互聯網 瀏覽量:
微軟稱:“Chrome在遠程代碼執行(RCE)緩解上的相對缺乏,意味著從內存崩潰漏洞到漏洞利用之間的路徑,可能會非常短。”
軟件巨頭微軟,在公布穀歌Chrome瀏覽器RCE漏洞上,動作奇快。當然,今年早些時候,穀歌也曾兩度披露微軟未修複安全漏洞,讓微軟很是難堪。
去年,微軟發布博客文章,批評穀歌的安全漏洞披露是不負責任的——在微軟準備打補丁之前,就曝出了重大Windows漏洞。
上周,微軟終於抓到機會,展示它認為的負責任披露是什麼樣的:在博客帖子中,微軟描述了其上個月就發現,且在9月14號就通告穀歌的一個Chrome遠程漏洞。
微軟攻擊性安全研究(OSR)團隊在帖子中說:“CVE-2017-5121的發現表明,現代瀏覽器中,是有可能出現可遠程利用的漏洞的。Chrome在RCE緩解上的相對缺乏,意味著從內存崩潰漏洞到漏洞利用之路,可能會很短。”
穀歌在一周之內便在貝塔版Chrome中修複了該問題,但微軟指出,盡管現在已修複,該穩定而公開的渠道“依然在風險中暴露了近一個月。”
微軟稱,這可不是什麼小事,因為穀歌在穩定渠道修複之前,就將補丁源代碼在GitHub上公開了,也就是說,至少在理論上,攻擊者有一個月的時間來利用該漏洞。
微軟宣稱:“這對開源項目而言情有可原,但在補丁可用之前就讓攻擊者知曉漏洞,那就有問題了。”
微軟稱,盡管其自身Edge瀏覽器也有部分是開源的,“我們認為有必要先將補丁發布給客戶,而不是早早將其公開。”
穀歌為該Chrome漏洞,向微軟支付了7500美元的漏洞獎金。另有為其他漏洞發放的8337美元,則被微軟捐去做了慈善。
