這不是大多數人能夠理解的廣告:出售:“我們針對Win8+IE10的第一個零日攻擊安全漏洞,可繞過Windows 8中的HiASLR/AntiROP/DEP & Prot模式等沙盒技術(不需要Flash)。”這是一傢名為Vupen的法國公司最近在Twitter網站上發佈的信息的一部分。這傢公司專門發現微軟、Adobe、蘋果和甲骨文等公司廣泛應用的軟件中的安全漏洞。
Vupen處於計算機安全研究的一個灰色領域,向政府和企業的審查機構出售安全漏洞,但是,不共享受影響的軟件廠商的細節情況。這傢公司宣稱,它的信息能夠幫助組機構防禦黑客攻擊並且在某些情況下還能實施攻擊。
Vupen已經發現微軟新的Windows 8操作系統和IE 10瀏覽器中的某個地方存在一個問題。這個安全漏洞還沒有公開披露。微軟也沒有修復這個漏洞。
Vupen的發現是最新發佈的Windows 8和IE 10的第一批問題之一,盡管在Windows 8平臺上運行的其它第三方軟件業也發現瞭安全漏洞。
微軟可信計算主管戴夫·福斯特洛姆(Dave Forstrom)表示,微軟鼓勵研究人員參加其“協調的安全漏洞披露”計劃。這個計劃要求有關人員在公開披露安全漏洞之前給微軟一些修復軟件漏洞的時間。
福斯特洛姆在聲明中稱,我們看到瞭Twitter網站上發表的那個微博。但是,他們沒有與我們共享進一步的信息。
Vupen上周三在Twitter網站發表的信息暗示這個安全漏洞會讓黑客繞過Windows 8中包含的安全技術,包括熵值較高的地址空間佈局隨機化(Address Space Layout Randomization)、反返回導向編程(Return Oriented Programming,ROP)和DEP(數據執行保護)等安全措施。這傢公司還指出,這個安全漏洞不依賴於Adobe System的Flash多媒體程序的問題。
nCircle安全運營主管安德魯·斯道姆思(Andrew Storms)稱,如果這個安全漏洞被證實,那麼,微軟剛剛發佈Windows 8就在它宣傳為最安全的軟件平臺中發現安全漏洞將是微軟的一個恥辱。
由於最近Windows 8的發佈,成功地利用安全漏洞的市場機會是有限的,但是,另一方面,沒有人證實這個安全漏洞對於老版本Windows或者IE瀏覽器是否有效。
位於澳大利亞悉尼的安全公司HackLabs的滲透測試者和高級顧問喬迪·墨爾本(Jody Melbourne)稱,這個安全漏洞對於有興趣竊取代碼簽名證書或者源代碼的第三方微軟開發人員是有用的。
那麼,這個安全漏洞值多少錢?現在很難說。Vupen沒有發佈公開的價格表。但是,墨爾本表示,如果這個安全漏洞在Vupen網站顯示更長的時間並且沒有其他人發現這個安全漏洞,這個安全漏洞的價格將隨著時間的推移而增加。
Orignal From: Windows 8的一個新的零日漏洞值多少錢
留言列表
