Google的Project Zero Team已在Internet Explorer中披露了潜在的任意代码执行漏洞,因为Microsoft尚未在Google的90天披露截止日期内采取行动。
这是自从Redmond Giant以来,Google Project零产品公开的Microsoft产品中的第二个缺陷决定跳过本月的补丁星期二并将其先前计划的安全修复程序推迟到3月。
微软指责史无前例的决定将预定的安全更新推回一个月,这可能会对客户产生影响,但该公司尚未澄清问题的性质。
有些人已经推测了该问题可能与Windows Update基础架构有关,而不是特定的解决方案,而是公司推出了Flash Player安全更新在星期二,这表明如果存在基础设施问题,现在就解决了。
新披露的漏洞是一个所谓的类型混乱缺陷,影响Microsoft Edge和Internet Explorer,并有可能允许远程攻击者在基础系统上执行任意代码。
“没有可用的漏洞利用,但是POC(概念证明)证明崩溃是。”脆弱性情报公司风险安全性的首席研究官Carsten Eiram通过电子邮件说。“此POC可能会为想要开发工作利用的任何人提供一个很好的起点。Google[Zero]甚至包括有关如何实现代码执行的一些评论。”
基于风险的安全研究人员已经在完全修补的Windows 10系统上证实了IE11的潜在可利用崩溃,并将CVSS严重性得分分为6.8,将其影响视为潜在的代码执行。
2月14日,微软宣布决定推迟2月补丁后,Google Project Zero披露了记忆披露漏洞在Windows的GDI库中。
尚未修补的另一个漏洞三周前公开披露由独立研究人员。该漏洞位于Microsoft的SMB网络文件共享协议中,如果攻击者欺骗他们连接到Rogue SMB服务器,则可以利用崩溃的Windows计算机。披露该漏洞的研究人员声称Microsoft打算在2月进行修补。
因此,目前,Microsoft产品中有三个零日漏洞,该公司可能计划在2月14日进行修补,但没有进行修补。一些安全研究人员,包括Eiram,认为Microsoft应该释放它现在拥有的补丁而不是等待。
Eiram说:“即使目前没有可用的利用,微软也与用户的安全性赌博。”“如果Exploits突然浮出水面,Microsoft可能无论如何都必须释放带外安全更新,从而迫使客户争先恐后地应用这些修复程序。以主动的方式处理它更有意义。”
软件供应商对每月补丁周期的承诺是可以理解的,因为它可以满足其客户对何时需要应用安全更新的可预测性。但是,Eiram认为,坚持这些周期绝不应该比及时解决安全性更高。
他说:“微软始终保留在必要时发布带外安全更新的权利,即使没有可用的利用,也有必要。”“有三个已知的未解决的漏洞,其中至少有一个具有代码执行潜力。”