趋势科技公开微软还没来得及修复的数据库引擎安全漏洞
修订:本次公开微软数据库引擎漏洞的安全厂商是趋势科技,下文中提到的谷歌旗下安全团队为错误的内容。
谷歌旗下安全团队日前再度公开微软尚未修复的安全漏洞,该漏洞属于远程代码执行漏洞因此危害性比较高。
按谷歌制定的流程在漏洞被提交的120 天后即自动公开,不论厂商是否已经对漏洞修复最终漏洞都会被公开。
例外情况是如果厂商修复存在困难则可以联系谷歌申请延期,此前英特尔处理器的幽灵熔断漏洞就被延期过。
Microsoft JET引擎图例,图文无关
Microsoft JET数据库引擎漏洞:
该数据库是微软面向办公软件开发的专用索引管理系统,目前很多商业软件都依靠该引擎完成表格转制操作。
本次谷歌发现的漏洞属于越界漏洞可通过该引擎数据源触发,攻击者可以利用特制的可疑文件诱导用户加载。
若用户加载恶意文件则可以执行相关的恶意代码例如下载其他后门程序或等待黑客通过远程服务器发布指令。
由于目前已经超过120 天所以谷歌已经自动公开漏洞细节,遗憾的是虽然已经过去好几个月但微软尚未修复。
微软曾指责过谷歌的这种做法:
在过去几年里谷歌已经多次公布微软尚未修复的安全漏洞,显然对于微软来说谷歌这种行为自然会让人不爽。
例如此前谷歌公开微软尚未修复的浏览器漏洞,微软立刻发布声明指责谷歌不负责任可能让用户陷入危险中。
微软认为至少应该在修复漏洞并且绝大多数用户不受影响的情况下才能公开漏洞细节防止黑客利用漏洞攻击。