這不是大多數(shù)人能夠理解的廣告：出售：“我們針對Win8+IE10的第一個零日攻擊安全漏洞，可繞過Windows 8中的HiASLR/AntiROP/DEP & Prot模式等沙盒技術(shù)(不需要Flash)。”這是一家名為Vupen的法國公司最近在Twitter網(wǎng)站上發(fā)布的信息的一部分。這家公司專門發(fā)現(xiàn)微軟、Adobe、蘋果和甲骨文等公司廣泛應(yīng)用的軟件中的安全漏洞。

Vupen處于計算機(jī)安全研究的一個灰色領(lǐng)域，向政府和企業(yè)的審查機(jī)構(gòu)出售安全漏洞，但是，不共享受影響的軟件廠商的細(xì)節(jié)情況。這家公司宣稱，它的信息能夠幫助組機(jī)構(gòu)防御黑客攻擊并且在某些情況下還能實施攻擊。

Vupen已經(jīng)發(fā)現(xiàn)微軟新的Windows 8操作系統(tǒng)和IE 10瀏覽器中的某個地方存在一個問題。這個安全漏洞還沒有公開披露。微軟也沒有修復(fù)這個漏洞。

Vupen的發(fā)現(xiàn)是最新發(fā)布的Windows 8和IE 10的第一批問題之一，盡管在Windows 8平臺上運(yùn)行的其它第三方軟件業(yè)也發(fā)現(xiàn)了安全漏洞。

微軟可信計算主管戴夫·福斯特洛姆(Dave Forstrom)表示，微軟鼓勵研究人員參加其“協(xié)調(diào)的安全漏洞披露”計劃。這個計劃要求有關(guān)人員在公開披露安全漏洞之前給微軟一些修復(fù)軟件漏洞的時間。

福斯特洛姆在聲明中稱，我們看到了Twitter網(wǎng)站上發(fā)表的那個微博。但是，他們沒有與我們共享進(jìn)一步的信息。

Vupen上周三在Twitter網(wǎng)站發(fā)表的信息暗示這個安全漏洞會讓黑客繞過Windows 8中包含的安全技術(shù)，包括熵值較高的地址空間布局隨機(jī)化(Address Space Layout Randomization)、反返回導(dǎo)向編程(Return Oriented Programming，ROP)和DEP(數(shù)據(jù)執(zhí)行保護(hù))等安全措施。這家公司還指出，這個安全漏洞不依賴于Adobe System的Flash多媒體程序的問題。

nCircle安全運(yùn)營主管安德魯·斯道姆思(Andrew Storms)稱，如果這個安全漏洞被證實，那么，微軟剛剛發(fā)布Windows 8就在它宣傳為最安全的軟件平臺中發(fā)現(xiàn)安全漏洞將是微軟的一個恥辱。

由于最近Windows 8的發(fā)布，成功地利用安全漏洞的市場機(jī)會是有限的，但是，另一方面，沒有人證實這個安全漏洞對于老版本W(wǎng)indows或者IE瀏覽器是否有效。

位于澳大利亞悉尼的安全公司HackLabs的滲透測試者和高級顧問喬迪·墨爾本(Jody Melbourne)稱，這個安全漏洞對于有興趣竊取代碼簽名證書或者源代碼的第三方微軟開發(fā)人員是有用的。

那么，這個安全漏洞值多少錢?現(xiàn)在很難說。Vupen沒有發(fā)布公開的價格表。但是，墨爾本表示，如果這個安全漏洞在Vupen網(wǎng)站顯示更長的時間并且沒有其他人發(fā)現(xiàn)這個安全漏洞，這個安全漏洞的價格將隨著時間的推移而增加。