北京时间1月14日消息,今天凌晨微软发布2015年首批安全补丁,共修复了Windows系统和软件中的8个漏洞,此前引发微软与谷歌大打“口水战”的两个Windows权限提升漏洞也得到了修复。截至发稿前,国内的360安全卫士等安全软件也已向用户全面推送补丁。
谷歌坚持“90天不补漏洞就公开”是引发此次争议的导火索。去年12月29日,谷歌公布了一个Win8/8.1权限提升漏洞,这时距离谷歌向微软通报漏洞信息已经达到90天期限。恶意程序可能利用该漏洞提升权限,拥有更强的破坏力。对此360安全卫士紧急推出了热补丁,在微软官方补丁“真空期”防御此漏洞攻击。
就在微软补丁日前两天,谷歌再次曝光了一个Windows系统漏洞。微软终于忍无可忍,公开批评谷歌将大量用户置于危险境地。微软方面表示,“修复漏洞复杂而耗时,不是每个漏洞都能在 90 天之内解决”。不过所幸此漏洞并没有造成实际损害,360安全卫士无需升级就可防御该漏洞攻击。
值得注意的是,尽管微软补丁日修复了谷歌发现的两个漏洞,但由于漏洞细节被谷歌提前公开,微软官网并没有向谷歌致谢。
另据360首席工程师郑文彬介绍,本月含金量最高的漏洞是一个IE沙箱穿越漏洞(CVE-2015-0016),这也是非常罕见的针对IE沙箱的在野攻击。此外,企业级用户应注意修复Windows Telnet远程代码执行漏洞。
据了解,尽管Telnet服务没有在Windows 2003系统上默认开启,Windows Vista以后的操作系统也默认没有安装Telnet服务,但由于有些第三方的服务会依赖微软的Telnet,企业用户应注意排查,避免受到漏洞影响。
