淘新聞

Project Zero曝光:微軟發佈補丁並未完全修復漏洞

成立於2014年7月15日的Google Project Zero資訊安全團隊,專門負責尋覓各種軟體的安全性漏洞,而Windows則成為了重點“關照對象”。在經歷了數次備受爭議的漏洞公開事件之後,這支Google團隊再次披露了Windows系統中能夠訪問內核存儲的安全性漏洞。

該漏洞於今年3月份被Project Zero團隊成員發現,該漏洞同時存在於包括Google在內的其他公司軟體產品,微軟已經於今年六月的補丁星期二活動中進行了修復。

Project Zero在發現漏洞之後會向軟體商報告,並且在90天之後完全公佈。儘管這次 微軟 在限定時間內對該漏洞進行了修復,但是Project Zero團隊表示微軟並未完全在正確修復。對此,微軟承認確實還存在問題。

該漏洞允許任何人訪問內核存儲。在Windows系統中nt!NtNotifyChangeDirectoryFile子系統,被報告由於輸出機構隱患導致可以在使用者模式下查看和訪問未初始化的記憶體池。

Google表示這個漏洞能夠允許已經獲得本地許可權的攻擊者可以繞過某些漏洞保護措施(Kernel ASLR),並讀取內核位址空間的其他分區內容。Google表示已經提醒微軟,Windows 7到10用戶依然能夠存在這個漏洞。微軟有望在下個月的補丁星期二活動中進行修復。截至目前,該漏洞的安全等級已經被標記為“中等”(Medium)。