Google旗下專門尋找零時差攻擊漏洞的Project Zero團隊上周再度藉由自動系統揭露了多個微軟Windows平台的安全漏洞,相關漏洞出現在EMF(Enhanced Metafile)紀錄處理DIBs(Device Independent Bitmaps,裝置無關位元映像檔)時,可能曝露系統上的機密資料。

根據該團隊的說明,微軟曾在2016年6月釋出的MS16-074修補了有關的漏洞,當時微軟宣稱這些漏洞將允許駭客繞過ASLR(位址空間配置隨機載入)的安全機制,導致機密資料外洩,若搭配其他漏洞則可造成程式攻擊。

然而,Project Zero卻發現,MS16-074並未有效修補所有漏洞,仍有部份漏洞門戶大開,該團隊還打造了概念性驗證程式,只要利用含有惡意EMF檔案的.docx文件,就能從在地端的Internet Explorer或遠端的Office Online展開攻擊,取得諸如使用者資料或虛擬位址空間等機密資訊。

由於Project Zero採用的是自動化的揭露機制,因此在去年的11月16日提報了該漏洞之後,系統自動在90天後(2/14)公開了漏洞資訊。

2014年的12月30日,Project Zero也曾透過自動公開機制對外公布微軟Windows平台的零時差安全漏洞,當時惹來了微軟的抨擊與外界的譴責,促使Google修改揭露政策,指出若揭露日期遇到假日,將會順延到工作天,同時也允許軟體業者申請額外的14天寬限期。

不過,14天的揭露寬限期對現在的微軟來說並無太大幫助,微軟上周已宣布要把應該在2月14日釋出的例行性安全更新延後到3月14日

Google旗下的另一個威脅分析部門(Threat Analysis Group)也在去年10月底公開了一個才提報10天的微軟漏洞,微軟在表達不滿之餘,亦很快地就在11月的例行性安全更新中修補了該漏洞。


Advertisement

更多 iThome相關內容