Google旗下的安全团队发现了Windows内核中的漏洞,在通报给微软10天后就直接公布了漏洞的细节。
而微软在此期间并未发布
补丁修复这枚漏洞,因此将导致数百万的Windows用户暴露在黑客眼皮之下。
此前Google也曾经在微软还未修复的情况下就披露漏洞细节,微软称内核漏洞修复更加复杂因此需要更长的时间才可以发布补丁。
事实上已经有来自俄罗斯的黑客利用这枚漏洞展开攻击了,但是也需要依靠Adobe Flash Player的漏洞。
Windows和设备集团副总裁Terry Myerson在今天的
技术博客中撰写文章详细介绍发生本次攻击的情况。
黑客利用Adobe Flash Player的零日漏洞来获取浏览器进程权限控制,然后越过浏览器的沙盒(逃逸),最终在受害者的电脑上安装后门以便于完全掌控被侵入的设备。
值得注意的是Adobe在五天前也就是10月27日才发布补丁修复Flash Player中的零日漏洞,万万没想到这才几天又被爆出了新的漏洞。
微软称目前正与Google和Adobe公司合作解决这个问题,预计在下一个补丁日(国内下周三)进行修复。
受该漏洞影响的Windows版本包括Windows Vista、Windows 7、
windows 8.1和Windows 10版。
在此也特别建议:
如果你用不到Adobe Flash Player那么最好直接关闭,对于Windows 8.1和Windows 10内置了Flash Player那么不要使用IE和Microsoft Edge浏览器。
但是对于桌面软件也会调用IE浏览器和Adobe Flash Player,比如国内牛皮癣似的今日推荐这类的弹窗。
所以说完全不使用Adobe Flash Player也不现实,但这种三天两头零日漏洞真的是让人无奈了。