谷歌近日再次曝光Windows 0day漏洞，稱該漏洞可影響所有現行的Windows操作系統，而微軟還沒來得及修復。

[[175678]]

根據谷歌團隊發布的博文，該漏洞是一個本地提權漏洞，可以讓攻擊者逃過沙盒過濾，獲得管理員權限，并執行惡意代碼。

It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD.

其實，10天前谷歌就已經將此漏洞上報給微軟。既然已經提交微軟團隊，谷歌為何在短短數日之后又將之公開?

漏洞已被利用

“上周五，也就是10月21日，我們報告了(此前未公開的)兩個0day漏洞分別給Adobe和微軟。Adobe在10月26日更新了Flash，修補了CVE-2016-7855漏洞;此次更新可通過Adobe更新程序和Chrome自動更新實現。”

7天之后，谷歌團隊發現Windows系統中依然存在谷歌上報的高危漏洞，并且微軟沒有發布任何安全公告或者補丁。同時，谷歌團隊發現此漏洞正被積極利用，俄羅斯APT黑客組織Strontium，也就是Fancy Bear，正利用此漏洞部署“小規模”攻擊，此組織也是美國民主黨全國委員會(DNC)被黑事件的重點懷疑對象，這一信息也得到了微軟的確認。

因此，谷歌認為此漏洞特別嚴重。于是谷歌團隊將此漏洞公開，該舉動符合谷歌在2013年制定的產品漏洞披露信息相關政策：

我們建議，廠商在60天內修復高危漏洞，如果無法修復，廠商也應知會公眾風險相關信息，并提供變通方案。如果廠商需要更多時間修復漏洞，我們鼓勵研究人員發布自己的相關發現。但是，根據我們的經驗，我們認為對于高危的、正被積極利用的漏洞，廠商應在7天內采取更加緊急的措施。

7天的時限比較緊迫，對于某些廠商而言，如果要更新產品，7天可能有些短。但是，廠商發布可能的緩解措施，比如臨時關閉某項服務、限制訪問或者聯系廠商獲取更多信息，7天是足夠的。因此，如果7天之后，廠商未提供補丁或建議，我們將支持研究者公開細節，以便用戶采取防范措施。

谷歌不是第一次這么干了

谷歌團隊認為公開漏洞有兩大好處：1.可讓用戶至少知曉問題的存在;2.可以敦促開發者發布補丁。

谷歌工程師特別擅長尋找微軟軟件里的漏洞：在2010年6月，谷歌工程師發現了一個Windows高危漏洞，只給了微軟5天響應時間，5天后，工程師將漏洞細節發布在網上(其中包括一個示例攻擊代碼);去年1月，谷歌Project Zero在給微軟提交漏洞信息后，給了微軟90天期限修復，但微軟沒有在期限內修復，于是谷歌就曝光了漏洞細節。具體事件FreeBuf也曾報道過，詳情請戳這里。

當時，微軟的高級總監Chris Betz就曾喊話谷歌：“我們請谷歌與我們合作，等到1月13日我們發布補丁時，再公布漏洞細節，以保護客戶。”他認為谷歌頑固執行其90天期限，不像是堅守原則，更像是套路，最后受傷的都是客戶。“谷歌認為正確的，對客戶來說不一定就是對的。我們敦促谷歌，將保護客戶作為我們的首要共同目標。”

此話一出，谷歌方面重新考量自己的Project Zero，修改了披露規則，在原有90天的基礎上又寬限了14天(詳細情況請點這里)。

微軟：不開心

[[175679]]

對于谷歌此次的曝光，微軟肯定是不開心了，他們指責谷歌欺騙網民，混淆事實。微軟首先在一篇聲明當中回應：

“我們認為公開漏洞時應互相配合，谷歌此番公開漏洞，將客戶置于風險之中。”

微軟官方隨后針對攻擊事件在11月1日發布了安全公告：

“近日，微軟威脅情報稱為Strontium的活動組織，發動了一次小流量魚叉式釣魚攻擊。我們已經得知，使用Windows 10 周年更新版上的Microsoft Edge的用戶不會受到此次攻擊的影響。此次攻擊，最初由谷歌威脅分析小組發現，利用的是Adobe Flash的兩個0day漏洞和Windows的底層內核，針對特定的客戶群體。”

微軟發言人也表示并不是所有Windows版本都受到了影響：

“谷歌將這個本地提權漏洞描述為‘高危’、‘特別嚴重’，我們并不同意。因為他們描述的攻擊場景，在上周Adobe Flash更新部署后就已經全面緩解了。另外，我們的分析認為，這種攻擊針對Windows 10周年更新是無效的，因為先前我們就已經對系統進行了安全方面的加強。”

Windows執行副總Terry Myerson則表示谷歌的行為“令人失望”。Myerson認為，Strontium黑客組織利用谷歌報告的漏洞發動的魚叉式釣魚攻擊是很有限的，因此大部分Windows用戶都沒有成為攻擊目標，谷歌不必如此著急將漏洞公開。

Myerson表示，微軟將在下周二，也就是Patch Tuesday發布時，修復此漏洞。Myerson還建議用戶在等待補丁的同時，先將系統升級為Windows 10，以免受到進一步攻擊。

文章轉載自微信公眾號“柯力士信息安全”