首页 > 动态 > 关键词  > Google最新资讯  > 正文

Google 研究员披露 Windows 10 0day 漏洞

2019-06-13 09:48 · 稿源: 开源中国

谷歌 (2)

安全研究员Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。

该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在Windows10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。

Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。”

不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。

Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。

如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。”

6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。

公开的漏洞地址:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

  • 相关推荐
  • 大家在看
  • 微软允许企业客户选择新 Surface 设备预装 Windows10Windows11 系统

    企业客户现在可以通过微软Surface授权经销商在特定市场下单购买新Surface设备。据微软官网显示,现在企业客户可以选择安装在新的Surface设备上的操作系统(Windows1020H2或Windows1121H2),包括Surface Pro8、Surface Laptop Studio和Surface Go3。 这将使企业能够部署新的Surface设备而不必担心Windows11的兼容性问题。

  • 微软现通过Windows 10 OOBE提供Windows 11升级

    虽然符合条件的设备均可升级到 Windows 11 系统,但只有少数 Windows 10 用户在检查更新的时候才能看到升级到新系统的选项。这是因为目前 Windows 11 系统正在分阶段推出,预估将会在明年春季完成推送工作。根据支持文件,微软已经发布了一个名为“KB5005716”的 Windows 10 OOBE 更新,以实现对 Windows 11 家庭版或专业版的新升级体验。然而,有一个问题--这个过程需要用户重置设备或清洁安装 Windows 10。该累积更新适用于 Wind

  • 一些Windows 11用户发现Windows 10任务栏“意外回归”

    微软已经在本周早些时候开始推广Windows 11,不仅从WindowsUpdate,而且还使用其他下载方法,包括该公司自己发布的更新助手。然而,事实证明,并不是每个安装Windows11的人最终都能得到完美的体验,一些求助于更新助手的人实际上得到了怪异的新旧系统的混合产品。正如你在这里看到的这张由reddit用户Mastermind1703发布的截图,他安装完Windows 11后的任务栏来自于Windows 10,而开始菜单则完全损坏而不可用。其他几个人也在他们的

  • 如何修复Windows 11升级后出现Windows 10任务栏的Bug?

    微软已经面向公众发布了Windows 11,并可用于符合条件的设备。一些从Windows10升级的用户报告说,他们没有收到新的任务栏,而且"开始"菜单也不工作。在Windows11测试版期间,内部人士也报告了同样的问题,这意味着这个错误也影响到了生产版本。如果你也受到影响,这里有潜在的修复方法,你可以试试。Windows 11带有一个居中的任务栏和开始菜单。用户在清洁安装微软的新操作系统时,可能会得到比选择升级时更新鲜的体验。随着升级,

  • Google正对Chrome进行视觉调整 使其更契合Windows 11风格

    Google 正对 Chrome 的外观进行调整和优化,使其更契合 Windows 11 系统的视觉审美。根据 Chromium Gerrit 上的一个新补丁,Google正在努力使他们的菜单在新操作系统上运行时具有“Windows 11 风格”。除了圆角,目前还不清楚“Windows 11 风格”意味着什么,但其他元素可能包括 Mica 透明效果和 Windows 11 风格的图标,如在 Edge 浏览器上看到的。目前还不清楚我们要等多久才能看到这些变化出现在 Chromium 浏览器的稳定分支中。

  • 微软和AMD下周将修补Windows11电脑上的Ryzen漏洞

    AMD确认了一个与运行在Windows11上的CPU有关的性能问题。增加的三级缓存延迟和次优线程调度可能会导致某些CPU的性能下降10-15%该公司已经在进行修复,应该很快就能准备好。微软计划在10月19日发布更新,随后在10月21日AMD发布驱动程序更新,因此我们很有可能在下周四看到问题得到解决在此之前,微软表示不会将Windows11推到AMD Ryzen驱动的设备上,并建议这类电脑的用户不要手动更新

  • Explorer Patcher:让Windows 11恢复Windows 10的行为特征

    在升级 Windows 11 系统之后,如果你想要让任务栏和文件管理器恢复成 Windows 10 的行为特征,那么借助 ExplorerPatcher 这款应用是非常简单的方法。用户只需要将一个.DLL 文件添加到 C:Windows,微软就会下载其余的文件,使之成为可能。开发者表示该项目的目的是在 Windows 11 上带回一个富有成效的工作环境。或者更确切地说,恢复 Windows 10 中已经没有破损的东西。这个软件的功能包括:来自 Windows 10 系统的任务栏● 主任务?

  • Windows11Upgrade​小工具:让你轻松绕过限制升级Windows 11

    Windows 11 系统最具争议的一项新措施就是提高了设备的升级门槛,需要 TPM 2.0、处理器以及 UEFI 支持等等。而今天介绍的 Windows11Upgrade 应用能够帮助你轻松绕过这些限制,不仅能帮你快速下载 Windows 11 系统镜像,而且能帮你安装升级。在升级过程中你可以选择是否要执行升级并保存应用程序和数据,只保存数据而不保存应用程序来安装 Windows 11,或者只是使用下载的新操作系统 ISO 自动执行清洁安装。该应用程序绕过了系统要?

  • 尚处于支持状态的Windows 10已获十月安全累积更新

    在 10 月的补丁星期二活动日中,Windows 11 系统在获得首个累积更新之外,尚处于支持状态的 Windows 10 系统也获得了累积更新 KB5006670 修复。该更新适用于 Windows 10 21H1(Build 19043.1288),20H2(Build 19042.1288),Version 2004(Build 19041.1288)。Windows 10 更新 KB5006670 带来安全修复,包括以下内容。解决了一个问题,即阻止一些应用程序,如 Microsoft Office和Adobe Reader 打开,或导致它们停止响应。这发生

  • Windows端Chrome正测试视觉改进 使其更契合Windows 11风格

    Google 开始在 Windows 10 和 Windows 11 平台上测试 Chrome 的新设计,在外观上使其更契合 Windows 11 的视觉风格。在 Chrome Canary 最新版本目前使用了类似于 Edge 的菜单设计,不过用户需要启用实验 Flag 才能看到这些变化。现阶段,Google 对 Chrome 的改变幅度还不是很大,只限于菜单。例如,当你在浏览器内任何地方点击右键或打开主菜单时,现在可以看到圆角和阴影效果。此外,Google似乎也在尝试对 Chrome 浏览器进行其他?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天