微软未能达到截止日期后,谷歌揭漏了边缘漏洞
发布时间:2022-03-07 12:21:32 所属栏目:要闻 来源:互联网
导读:谷歌项目的研究人员纯粹的单位,致力于在软件中查找安全漏洞,于2017年11月在Microsoft的Edge浏览器中报告了漏洞,但它仍未被修补。 Project Zero有一个有争议的政策,给出软件生产商90天修复其研究人员在公开之前找到的任何漏洞,以确保迅速的回应。 但是如
|
谷歌项目的研究人员纯粹的单位,致力于在软件中查找安全漏洞,于2017年11月在Microsoft的Edge浏览器中报告了漏洞,但它仍未被修补。 Project Zero有一个有争议的政策,给出软件生产商90天修复其研究人员在公开之前找到的任何漏洞,以确保迅速的回应。 但是如果内容进程损害并且内容进程可以预测要在哪个地址JIT进程调用VirtualAllocex()下一步,这是根据项目零的“相当可预测”,内容过程可以联络,分配可写的内存同一地址上的内存区域JIT服务器将写入,并在那里写一个即将可执行的有效载荷。 当JIT进程调用VirtualAllocex()时,即使已经分配了内存,调用将成功,并且根据项目Zero的研究人员,该呼叫将设置为page_execute_read。 虽然项目归零将威胁分类为“媒体”,但研究人员已经表明它可以利用绕过ACG并在内存中创建可执行文件。 微软被赋予标准的90天时间,为漏洞发出安全补丁,但由于解决问题所涉及的复杂性,截止日期为期14天的延长。 但是,在Microsoft错过了这段延长的截止日期后,Project Zero公开了,并且未能在其2月的安全更新中发出补丁。 据报道,微软希望在下次每月安全更新版本到期时,将推出修补程序以修复此问题。 在软件供应商发出补丁之前,Project Zero过去已经泄露了泄露漏洞。批评者表示,该政策公开了受影响软件的用户不必要地攻击。 微软始终如一地为研究人员展示漏洞,仅向软件供应商披露漏洞,并表示向供应商的“负责任披露”而无需进一步披露,有助于确保客户在网络犯罪分子之前获得全面,高质量的更新,了解 - 并努力利用漏洞。  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号