来源: 时间:2022-03-10 08:35:10
谷歌在Windows中暴露了一个0天漏洞,该公司表示这是相当严重的。谷歌威胁分析小组尼尔·梅塔 (Neel Mehta) 和比利·伦纳德 (Billy Leonard) 在博客中表示,他们10月21日向微软报告了这些漏洞,但该公司尚未发布任何修复程序。Mehta和Leonard解释说,Windows漏洞是Windows内核中的本地权限提升,可以用作安全沙箱逃脱。“它可以通过win32k.sys系统调用NtSetWindowLongptr() 在GWL_STYLE设置为WS_CHILD的窗口句柄上的索引GWLp_ID来触发。Chrome的沙盒使用Windows 10上的win32k锁定缓解措施阻止Win32k.sys系统调用,这可以防止利用此沙盒逃生漏洞,”他们说。
Google也报告了Adobe的0天漏洞,该公司已通过将Flash更新为CVE-2016-7855来修复该漏洞。该更新可通过Adobe的更新程序和Chrome自动更新获得。Mehta和Leonard建议用户手动更新Flash (如果尚未自动更新)。他们要求用户在Windows补丁可用时应用它。
Venture Beat引用了微软发言人的话,他告诉该网站,这一披露使用户处于危险之中。“我们相信协调漏洞披露,谷歌今天的披露将客户置于潜在风险之中,” 该发言人告诉该网站。Google在较早的博客中建议在60天内修复关键漏洞。它进一步表示,如果无法修复,公司应通知公众,并提供解决方法。
相关推荐
猜你喜欢
