微軟在上周發(fā)布的本月周二補(bǔ)丁更新中修復(fù)了許多錯誤。雖然它為不同版本的Windows打包了大量修復(fù)程序，但它確實(shí)引起了對谷歌向其報(bào)告的安全漏洞處理的批評。

然而，這個雷德蒙巨頭的安全問題似乎還沒有解決，因?yàn)橐环菪碌膱?bào)告稱，該公司剛剛修復(fù)了2018年向其報(bào)告的Windows Zero Day漏洞。

上周，微軟修復(fù)了各種Windows版本中的一個安全漏洞，主要用于處理操作系統(tǒng)對文件簽名的不當(dāng)處理。在CVE-2020-1464中，該公司指出：

當(dāng)Windows錯誤地驗(yàn)證文件簽名時，存在欺騙漏洞。成功利用此漏洞的攻擊者可以繞過安全功能并加載未正確簽名的文件。在攻擊場景中，攻擊者可能會繞過旨在防止加載帶有錯誤簽名的文件的安全功能。

此更新通過糾正Windows驗(yàn)證文件簽名的方式來解決該漏洞。

安全研究員塔爾貝埃里在媒體上的一篇博客文章中解釋說，病毒總量(谷歌旗下的一項(xiàng)服務(wù))的經(jīng)理貝爾納多金特羅在2018年8月首次發(fā)現(xiàn)了該漏洞。該漏洞內(nèi)部稱為“GlueBall”，并立即向微軟報(bào)告，調(diào)查結(jié)果由Quintero于2019年1月公布。微軟確認(rèn)了這個問題，并在支持工具中增加了緩解措施，但表示不會在操作系統(tǒng)本身解決這個問題。這一決定背后的原因并未公開。

從那以后，其他人發(fā)表了幾篇博客文章，解釋如何使用GlueBall來利用Windows。然后在2020年6月，著名的社交媒體賬號再次突出了GlueBall。

大約在這個時候，微軟似乎認(rèn)真對待這個問題，終于在本月周二的補(bǔ)丁發(fā)布了針對巨大安全漏洞的適當(dāng)修復(fù)。根據(jù)微軟的安全公告，這個缺陷存在于Windows 7、8、8.1、RT 8.1、Server 2008、2012、2016、2019和Windows 10中，直到2004年才被很多人使用。操作系統(tǒng)版本。

在KrebsonSecurity的模糊聲明中，微軟指出：

安全更新于8月發(fā)布。申請或啟用自動更新的客戶將受到保護(hù)。我們繼續(xù)鼓勵客戶打開自動更新，以幫助確保他們受到保護(hù)。

退一步說，從微軟的角度來處理這個事件是非常奇怪的。有人想知道為什么微軟將Windows安全漏洞的修復(fù)推遲了近兩年，尤其是幾乎所有主要版本的操作系統(tǒng)都存在漏洞的情況下。

鄭重聲明：本文版權(quán)歸原作者所有。轉(zhuǎn)載文章只是為了傳播更多的信息。如果作者信息標(biāo)注有誤，請第一時間聯(lián)系我們修改或刪除。謝謝你。

標(biāo)簽:安全漏洞。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險自擔(dān)。 如有侵權(quán)請聯(lián)系刪除！