谷歌超级黑客团队“Project Zero”发现Windows 最新远程代码执行漏洞

雷锋网消息,众所周知,谷歌内部有一个超级黑客团队——“Project Zero”,据securityaffairs 5月8日报道,谷歌 ProjectZero 的研究员在微软Windows OS 中发现了一个远程代码执行漏洞(RCE),但是这并非简单的 RCE,他们把它定性为“近期最糟糕的Windows RCE”。

上周末,ProjectZero 的研究员TavisOrmandy 和 NatalieSilvanovich 在社交网站上公布了这一发现,不过,他们却没有透露太多的细节。

【TavisOrmandy的社交网站截图】

“我认为,我和@natashenka 刚发现了Windows 的远程执行代码漏洞,这个漏洞太可怕了,报告在路上。”

“攻击者们不需要处于同一个局域网中就可以静默安装,这简直是一个虫洞。”

不过,他们并没有公布该漏洞的细节。雷锋网了解到,Project Zero 是谷歌的互联网安全项目,该团队主要由谷歌内部顶尖安全工程师组成,致力于发现、跟踪和修补全球性的软件安全漏洞,按照谷歌的规定,他们在公布漏洞前, 首先通报软件厂商并给他们90天的时间发布和修复补丁,然后才会将漏洞细节公之于众。

不过上述专家也发布了这些可供参考的信息:

Project Zero 团队已经根据 POC 对 Windows 默认安装进行研究。

Windows 该 RCE 漏洞可能被远程攻击者利用。

攻击是“蠕虫式”,可以自我传播。

如果你想看到漏洞详情,可能要再等 90 天。不过,谷歌的这个“90”天政策一直被安全研究者诟病,尤其是微软,颇有微言。比如,2015年,微软公开对谷歌公布其 windows8.1 系统漏洞的行为抱怨,因为微软原定于几天后就发布漏洞的补丁。但是,谷歌的专家向来不管他们的意见。

你看,NatalieSilvanovich 在社交网站上就很明显地“怼”上来了:如果一个推文能引起一个组织的恐慌或者困惑,那么问题不出在推文上,而是你家组织上。

今年2月,谷歌的研究人员披露了 Edge 和Internet Explorer 浏览器中未修补漏洞的细节。

据雷锋网了解,目前,微软方面还未对此回应。不过,考虑到微软的“补丁星期二”(美国时间)即将到来,微软或许会发布相关补丁。


分享到
表个态吧 赞(0)