微软在上周发布的本月周二补丁更新中修复了许多错误。虽然它为不同版本的Windows打包了大量修复程序,但它确实引起了对谷歌向其报告的安全漏洞处理的批评。
然而,这个雷德蒙巨头的安全问题似乎还没有解决,因为一份新的报告称,该公司刚刚修复了2018年向其报告的Windows Zero Day漏洞。
上周,微软修复了各种Windows版本中的一个安全漏洞,主要用于处理操作系统对文件签名的不当处理。在CVE-2020-1464中,该公司指出:
当Windows错误地验证文件签名时,存在欺骗漏洞。成功利用此漏洞的攻击者可以绕过安全功能并加载未正确签名的文件。在攻击场景中,攻击者可能会绕过旨在防止加载带有错误签名的文件的安全功能。
此更新通过纠正Windows验证文件签名的方式来解决该漏洞。
安全研究员塔尔贝埃里在媒体上的一篇博客文章中解释说,病毒总量(谷歌旗下的一项服务)的经理贝尔纳多金特罗在2018年8月首次发现了该漏洞。该漏洞内部称为“GlueBall”,并立即向微软报告,调查结果由Quintero于2019年1月公布。微软确认了这个问题,并在支持工具中增加了缓解措施,但表示不会在操作系统本身解决这个问题。决定背后的原因没有公开。
从那以后,其他人发表了几篇博客文章,解释如何使用GlueBall来利用Windows。然后在2020年6月,著名的社交媒体账号再次突出了GlueBall。
大约在这个时候,微软似乎认真对待这个问题,终于在本月周二的补丁发布了针对巨大安全漏洞的适当修复。根据微软的安全公告,这个缺陷存在于Windows 7、8、8.1、RT 8.1、Server 2008、2012、2016、2019和Windows 10中,直到2004年才被很多人使用。操作系统版本。
在KrebsonSecurity的模糊声明中,微软指出:
安全更新于8月发布。申请或启用自动更新的客户将受到保护。我们继续鼓励客户打开自动更新,以帮助确保他们受到保护。
退一步说,从微软的角度来处理这个事件是非常奇怪的。有人想知道为什么微软将Windows安全漏洞的修复推迟了近两年,尤其是几乎所有主要版本的操作系统都存在漏洞的情况下。