日前，谷歌公司披露了另一個Windows零日漏洞，因為微軟公司尚未能修復這個漏洞，這也是1月內(nèi)第三次谷歌的Project Zero發(fā)布關于未打補丁Windows漏洞的細節(jié)。

[[127142]]

這個最新的零日漏洞已被證實存在于Windows 7和8.1中，它影響著函數(shù)CryptProtectMemory，這可能允許進程間的內(nèi)存共享和登錄會話ID提取。

根據(jù)Project Zero對該漏洞的描述，“GNG.sys中的部署在捕捉登錄會話id時不會檢查令牌的模擬水平，這樣普通用戶就可以模擬鑒定水平，并解密或加密該登錄會話的數(shù)據(jù)。”

Project Zero最早在10月17日向微軟報告了該漏洞，從這一天就開始進入谷歌90天公開披露的最后期限倒計時，谷歌稱如果在這個時間內(nèi)沒有“廣泛可用的補丁”，漏洞報告將會自動發(fā)布。

根據(jù)谷歌Project Zero問題跟蹤網(wǎng)站的跟進文章顯示，微軟曾計劃將該漏洞的補丁作為2015年1月星期二補丁修復的一部分，但由于兼容性問題而推遲?，F(xiàn)在這個補丁計劃將包含在2015年2月星期二補丁修復中，而谷歌對該漏洞的披露可能讓Windows用戶在那之前處于威脅之中。

雙方都需要承擔責任

谷歌因其自動披露政策而遭到抨擊，微軟稱補丁修復已經(jīng)在處理中，沒必要讓用戶處于危險之中。安全供應商Veracode公司首席技術官兼首席信息安全官Chris Wysopal對這個漏洞將造成多大的威脅發(fā)出了警告。

Wysopal表示：“目前尚不清楚攻擊者將如何利用這個漏洞。對于初學者來說，這是一個本地漏洞，這沒有遠程利用漏洞那么嚴重。但它可能被用于權限提升，這意味著攻擊者可能利用該漏洞來在企業(yè)系統(tǒng)安裝網(wǎng)絡間諜或僵尸惡意軟件。”

Wysopal認為谷歌可能要重新考慮其發(fā)布零日漏洞報告的政策，并稱每個規(guī)則都會有例外情況，當對于補丁不能在截止日期前發(fā)布有著很好的解釋時，谷歌應該延遲公布報告。

“谷歌的90天披露期限很不好，他們貌似沒有考慮漏洞能否在90天內(nèi)安全地修復，”安全供應商Bit9公司解決方案架構師Matt Larsen表示，“微軟不能按時修復補丁也不好，或者更糟糕的情況是，補丁存在技術問題。”

Larsen表示，雙方都需要承擔更多責任，專注于更大的利益，否則對雙方都不好，而且在這個過程中用戶還會受到傷害。