微软在上周发布的本月补丁星期二更新中修复了许多错误。尽管它包装了各种版本的Windows的大量修复程序,但确实引起了对Google报告给它的安全漏洞的处理的批评。
但是,似乎这家雷德蒙德巨人的安全问题尚未解决,因为一份新报告称该公司刚刚修复了Windows零日漏洞,该漏洞已在2018年报告给它。
上周,Microsoft修复了各种Windows版本中的一个安全漏洞,该漏洞主要用于处理操作系统对文件签名的不正确处理。在CVE-2020-1464中,该公司指出:
Windows错误地验证文件签名时,存在一个欺骗漏洞。成功利用此漏洞的攻击者可以绕过安全功能并加载未正确签名的文件。在攻击情形中,攻击者可能会绕过旨在防止加载签名错误的文件的安全功能。
此更新通过更正Windows验证文件签名的方式来解决漏洞。
安全研究员Tal Be'ery 在Medium上的博客文章中解释说,VirusTotal(由Google拥有的服务)的经理Bernardo Quintero最早在2018年8月发现了该漏洞。这种漏洞在内部被称为“ GlueBall”,立刻向微软报告,调查结果由Quintero于2019年1月发表。Microsoft确认了此问题,并在支持工具中添加了缓解措施,但表示不会在操作系统本身中解决此问题。该决定背后的理由并不公开。
此后,其他人发表了几篇博客文章,解释了如何使用GlueBall来利用Windows。然后在2020年6月,著名的社交媒体帐户再次突显了GlueBall。
大约在这个时候前后,微软似乎开始认真对待此问题,并且终于在本月的补丁星期二发布了针对巨大安全漏洞的适当修复程序。根据Microsoft的安全公告,此缺陷存在于Windows 7、8、8.1,RT 8.1,Server 2008、2012、2016、2019和Windows 10中,一直到2004年版本,并且被许多人利用。操作系统版本。
在对KrebsonSecurity的模糊声明中,Microsoft指出:
八月发布了安全更新。应用更新或启用自动更新的客户将受到保护。我们继续鼓励客户打开自动更新以帮助确保其受到保护。
至少可以说,从微软的角度来处理此事件是非常奇怪的。有人想知道为什么微软将修复Windows安全漏洞的时间推迟了近两年,尤其是当该操作系统几乎所有主要版本中都存在该漏洞时。
