法國(guó)公司Vupen在官網(wǎng)上貼出了出售Windows 8一個(gè)新的零日漏洞的廣告。Vupen已經(jīng)發(fā)現(xiàn)微軟新的Windows 8操作系統(tǒng)和IE 10瀏覽器中的某個(gè)地方存在一個(gè)問(wèn)題。這個(gè)安全漏洞還沒(méi)有公開(kāi)披露。微軟也沒(méi)有修復(fù)這個(gè)漏洞。

 

這不是大多數(shù)人能夠理解的廣告：出售：“我們針對(duì)Win8+IE10的第一個(gè)零日攻擊安全漏洞，可繞過(guò)Windows 8中的HiASLR/AntiROP/DEP & Prot模式等沙盒技術(shù)（不需要Flash）。”這是一家名為Vupen的法國(guó)公司最近在Twitter網(wǎng)站上發(fā)布的信息的一部分。這家公司專(zhuān)門(mén)發(fā)現(xiàn)微軟、Adobe、蘋(píng)果和甲骨文等公司廣泛應(yīng)用的軟件中的安全漏洞。

Vupen處于計(jì)算機(jī)安全研究的一個(gè)灰色領(lǐng)域，向政府和企業(yè)的審查機(jī)構(gòu)出售安全漏洞，但是，不共享受影響的軟件廠商的細(xì)節(jié)情況。這家公司宣稱(chēng)，它的信息能夠幫助組機(jī)構(gòu)防御黑客攻擊并且在某些情況下還能實(shí)施攻擊。

Vupen已經(jīng)發(fā)現(xiàn)微軟新的Windows 8操作系統(tǒng)和IE 10瀏覽器中的某個(gè)地方存在一個(gè)問(wèn)題。這個(gè)安全漏洞還沒(méi)有公開(kāi)披露。微軟也沒(méi)有修復(fù)這個(gè)漏洞。

Vupen的發(fā)現(xiàn)是最新發(fā)布的Windows 8和IE 10的第一批問(wèn)題之一，盡管在Windows 8平臺(tái)上運(yùn)行的其它第三方軟件業(yè)也發(fā)現(xiàn)了安全漏洞。

微軟可信計(jì)算主管戴夫·福斯特洛姆（Dave Forstrom）表示，微軟鼓勵(lì)研究人員參加其“協(xié)調(diào)的安全漏洞披露”計(jì)劃。這個(gè)計(jì)劃要求有關(guān)人員在公開(kāi)披露安全漏洞之前給微軟一些修復(fù)軟件漏洞的時(shí)間。

福斯特洛姆在聲明中稱(chēng)，我們看到了Twitter網(wǎng)站上發(fā)表的那個(gè)微博。但是，他們沒(méi)有與我們共享進(jìn)一步的信息。

Vupen上周三在Twitter網(wǎng)站發(fā)表的信息暗示這個(gè)安全漏洞會(huì)讓黑客繞過(guò)Windows 8中包含的安全技術(shù)，包括熵值較高的地址空間布局隨機(jī)化（Address Space Layout Randomization）、反返回導(dǎo)向編程（Return Oriented Programming，ROP）和DEP（數(shù)據(jù)執(zhí)行保護(hù)）等安全措施。這家公司還指出，這個(gè)安全漏洞不依賴(lài)于Adobe System的Flash多媒體程序的問(wèn)題。

nCircle安全運(yùn)營(yíng)主管安德魯·斯道姆思（Andrew Storms）稱(chēng)，如果這個(gè)安全漏洞被證實(shí)，那么，微軟剛剛發(fā)布Windows 8就在它宣傳為最安全的軟件平臺(tái)中發(fā)現(xiàn)安全漏洞將是微軟的一個(gè)恥辱。

由于最近Windows 8的發(fā)布，成功地利用安全漏洞的市場(chǎng)機(jī)會(huì)是有限的，但是，另一方面，沒(méi)有人證實(shí)這個(gè)安全漏洞對(duì)于老版本W(wǎng)indows或者IE瀏覽器是否有效。

位于澳大利亞悉尼的安全公司HackLabs的滲透測(cè)試者和高級(jí)顧問(wèn)喬迪·墨爾本（Jody Melbourne）稱(chēng)，這個(gè)安全漏洞對(duì)于有興趣竊取代碼簽名證書(shū)或者源代碼的第三方微軟開(kāi)發(fā)人員是有用的。

那么，這個(gè)安全漏洞值多少錢(qián)？現(xiàn)在很難說(shuō)。Vupen沒(méi)有發(fā)布公開(kāi)的價(jià)格表。但是，墨爾本表示，如果這個(gè)安全漏洞在Vupen網(wǎng)站顯示更長(zhǎng)的時(shí)間并且沒(méi)有其他人發(fā)現(xiàn)這個(gè)安全漏洞，這個(gè)安全漏洞的價(jià)格將隨著時(shí)間的推移而增加。

 

　　推薦閱讀

　　蘋(píng)果高管動(dòng)蕩原因探秘：?jiǎn)滩妓挂埠茴^疼

原iOS軟件部門(mén)負(fù)責(zé)人福斯特爾與蘋(píng)果首席設(shè)計(jì)師艾維“水火不容”，曾多次故意缺席對(duì)方私人會(huì)議，而蘋(píng)果已故聯(lián)合創(chuàng)始人喬布斯也曾多次居中協(xié)調(diào)兩人關(guān)系。 北京時(shí)間11月06日消息，蘋(píng)果公司近日經(jīng)歷高層人事動(dòng)蕩，確認(rèn)由>>>詳細(xì)閱讀

本文標(biāo)題：Windows 8的一個(gè)新的零日漏洞值多少錢(qián)？

地址：http://www.sdlzkt.com/a/xie/20121229/112130.html

 1/2    1  2 下一頁(yè)