微軟在上周發(fā)布的本月周二補(bǔ)丁更新中修復(fù)了許多錯(cuò)誤。雖然它為不同版本的Windows打包了大量修復(fù)程序，但它確實(shí)引起了對(duì)谷歌向其報(bào)告的安全漏洞處理的批評(píng)。

然而，這個(gè)雷德蒙巨頭的安全問(wèn)題似乎還沒(méi)有解決，因?yàn)橐环菪碌膱?bào)告稱，該公司剛剛修復(fù)了2018年向其報(bào)告的Windows Zero Day漏洞。

上周，微軟修復(fù)了各種Windows版本中的一個(gè)安全漏洞，主要用于處理操作系統(tǒng)對(duì)文件簽名的不當(dāng)處理。在CVE-2020-1464中，該公司指出：

當(dāng)Windows錯(cuò)誤地驗(yàn)證文件簽名時(shí)，存在欺騙漏洞。成功利用此漏洞的攻擊者可以繞過(guò)安全功能并加載未正確簽名的文件。在攻擊場(chǎng)景中，攻擊者可能會(huì)繞過(guò)旨在防止加載帶有錯(cuò)誤簽名的文件的安全功能。

此更新通過(guò)糾正Windows驗(yàn)證文件簽名的方式來(lái)解決該漏洞。

安全研究員塔爾貝埃里在媒體上的一篇博客文章中解釋說(shuō)，病毒總量(谷歌旗下的一項(xiàng)服務(wù))的經(jīng)理貝爾納多金特羅在2018年8月首次發(fā)現(xiàn)了該漏洞。該漏洞內(nèi)部稱為“GlueBall”，并立即向微軟報(bào)告，調(diào)查結(jié)果由Quintero于2019年1月公布。微軟確認(rèn)了這個(gè)問(wèn)題，并在支持工具中增加了緩解措施，但表示不會(huì)在操作系統(tǒng)本身解決這個(gè)問(wèn)題。這一決定背后的原因并未公開(kāi)。

從那以后，其他人發(fā)表了幾篇博客文章，解釋如何使用GlueBall來(lái)利用Windows。然后在2020年6月，著名的社交媒體賬號(hào)再次突出了GlueBall。

大約在這個(gè)時(shí)候，微軟似乎認(rèn)真對(duì)待這個(gè)問(wèn)題，終于在本月周二的補(bǔ)丁發(fā)布了針對(duì)巨大安全漏洞的適當(dāng)修復(fù)。根據(jù)微軟的安全公告，這個(gè)缺陷存在于Windows 7、8、8.1、RT 8.1、Server 2008、2012、2016、2019和Windows 10中，直到2004年才被很多人使用。操作系統(tǒng)版本。

在KrebsonSecurity的模糊聲明中，微軟指出：

安全更新于8月發(fā)布。申請(qǐng)或啟用自動(dòng)更新的客戶將受到保護(hù)。我們繼續(xù)鼓勵(lì)客戶打開(kāi)自動(dòng)更新，以幫助確保他們受到保護(hù)。

退一步說(shuō)，從微軟的角度來(lái)處理這個(gè)事件是非常奇怪的。有人想知道為什么微軟將Windows安全漏洞的修復(fù)推遲了近兩年，尤其是幾乎所有主要版本的操作系統(tǒng)都存在漏洞的情況下。

鄭重聲明：本文版權(quán)歸原作者所有。轉(zhuǎn)載文章只是為了傳播更多的信息。如果作者信息標(biāo)注有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除。謝謝你。

標(biāo)簽:安全漏洞。

標(biāo)簽：