スマホ関連の海外ニュースです。
Google は、Windows のパッチを当てていない 0 日脆弱性は本当に新しいものではありませんを開示、彼ら行っているそれ昨年。マイクロソフトも数百万の Windows ユーザーを危険にさらすことの彼らの行動を批判しました。Google は今日はまだパッチを当てた Windows で新しい 0-day 脆弱性を公開しました。Google は金曜日、10 月 21 日、マイクロソフトにそれを報告し、7 日間ポリシーに従って表しないそれ今日。私は積極的に利用される重要な脆弱性の彼らのポリシーはソフトウェア メーカーとエンドユーザーの両方にとってよくないと思います。この脆弱性は、特に深刻な積極的に悪用されていることを知って後も彼らは、これを公表したいと思います。私は、ソフトウェア会社は、何百万行ものコードがあり、7 日以内数億種類の構成のマシンの上で動作するソフトウェアにセキュリティ上のバグを解決する方法を理解していません。 Windows の脆弱性は、セキュリティ サンド ボックス エスケープとして使用することができます Windows カーネルのローカルの特権の昇格です。WS_CHILD ウィンドウで GWLP_ID を処理するインデックスの GWL_STYLE と NtSetWindowLongPtr() に設定 win32k.sys システム コール経由でトリガーすることができます。Chrome のサンド ボックスは、このサンド ボックス エスケープの脆弱性の悪用を防ぐ Windows 10 Win32k ロックダウン軽減を使用して win32k.sys システム呼び出しをブロックします。 うまくいけば、Microsoft はすぐに Windows アップデート経由でこの脆弱性に対する修正プログラムをリリースします。
続きを読む…
Google discloses unpatched 0-day vulnerability in Windows
Google disclosing an unpatched 0-day vulnerability in Windows is not really a new thing, they have been doing it since last year. Microsoft even criticized their behavior for putting millions of Windows users at risk. Google today published a new 0-day vulnerability in Windows which is still unpatched. Google reported it to Microsoft on Friday, October 21st, and as per their 7 day policy, they have disclosed it today. I think their policy for actively exploited critical vulnerabilities is not good for both the software makers and end users.
Read more…
