微軟
Google的Project Zero安全團隊於2014年的12月30日透過自動系統公布了微軟Windows 8.1 Update的零時差漏洞,表示該作業系統中的NtApphelpCacheControl存取權限擴張(Elevation of Privilege)漏洞可能讓駭客藉以取得管理員權限。Google並且公布了該漏洞的概念驗證攻擊程式,因而引起外界批評。
NtApphelpCacheControl能夠快取應用程式的相容性資料以在建立新程序時快速再利用,一般使用者的權限僅能查詢快取,只有管理員權限才能新增快取項目。然而Google發現,該功能未能妥善執行使用者權杖(token)的檢查,可能導致權限擴張,該漏洞影響32與64位元的Windows 8.1 Update,並不確定是否影響其他版本的Windows。Google還釋出了測試該漏洞的概念驗證攻擊程式。
Google是在2014年9月30日將相關漏洞提交給微軟,迄今微軟尚未修補,但Google的安全研究系統在90天後就會自動將此一漏洞公諸於世。
但是該漏洞細節在12月30日公布後,旋即有開發人員留言指責Google的行為非常不負責任,認為這個時間點正逢聖誕假期與新年,許多Google與微軟的安全工程師都在休假,但安全問題卻不會放假,因此並不認同Google在90天期限後自動公布漏洞的作法。90天也許夠長足以修補漏洞,可是重要作業系統修補程式的開發與測試並不容易,任何錯誤都會造成更多的時間與成本損失。而此舉也讓外界懷疑,Google跟微軟安全團隊的關係並不佳。
此一發文引起了眾多迴響,有些人同意該文章的看法,認為Google不該棄數十億Windows 8.1用戶安全而不顧,也有人覺得這根本就是微軟的問題,指出微軟既未妥善建立新功能,也沒有即時修補漏洞,Google只是在提醒那些打造不安全產品的業者不要漠視安全漏洞。
Google則回應,該公司的揭露期限政策是遵從業界在2001年所建立的責任揭露準則(Responsible Disclosure),該準則早就行之有年,而且在提交給微軟的漏洞報告中也備註了90天的揭露期限聲明。90天是提供開發商解決問題的合理時間,在90天之後公布漏洞則是對使用者的尊重,使用者有權知道他們所面臨的風險。微軟則對媒體表示,正在開發修補程式,且說明駭客若要攻擊該漏洞,必須先取得有效的登入憑證才行。(編譯/陳曉莉)
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22