记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

2017-10-23 19:25

微软称:“Chrome在远程代码执行(RCE)缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之间的路径,可能会非常短。”

软件巨头微软,在公布谷歌Chrome浏览器RCE漏洞上,动作奇快。当然,今年早些时候,谷歌也曾两度披露微软未修复安全漏洞,让微软很是难堪。

去年,微软发布博客文章,批评谷歌的安全漏洞披露是不负责任的——在微软准备打补丁之前,就曝出了重大Windows漏洞。

上周,微软终于抓到机会,展示它认为的负责任披露是什么样的:在博客帖子中,微软描述了其上个月就发现,且在9月14号就通告谷歌的一个Chrome远程漏洞。

微软攻击性安全研究(OSR)团队在帖子中说:“CVE-2017-5121的发现表明,现代浏览器中,是有可能出现可远程利用的漏洞的。Chrome在RCE缓解上的相对缺乏,意味着从内存崩溃漏洞到漏洞利用之路,可能会很短。”

谷歌在一周之内便在贝塔版Chrome中修复了该问题,但微软指出,尽管现在已修复,该稳定而公开的渠道“依然在风险中暴露了近一个月。”

微软称,这可不是什么小事,因为谷歌在稳定渠道修复之前,就将补丁源代码在GitHub上公开了,也就是说,至少在理论上,攻击者有一个月的时间来利用该漏洞。

微软宣称:“这对开源项目而言情有可原,但在补丁可用之前就让攻击者知晓漏洞,那就有问题了。”

微软称,尽管其自身Edge浏览器也有部分是开源的,“我们认为有必要先将补丁发布给客户,而不是早早将其公开。”

谷歌为该Chrome漏洞,向微软支付了7500美元的漏洞奖金。另有为其他漏洞发放的8337美元,则被微软捐去做了慈善。

相关阅读

谷歌公开未打补丁的Windows漏洞 微软表示无奈
谷歌发现“最可怕”的Windows远程代码执行漏洞
谷歌丝毫不给微软面子 公开Windows未打补丁漏洞

 

知识来源: www.aqniu.com/news-views/28843.html

阅读:102400 | 评论:0 | 标签:牛闻牛评 chrome 微软 漏洞披露 谷歌 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云