微軟在上周發(fā)布的本月補(bǔ)丁星期二更新中修復(fù)了許多錯(cuò)誤。盡管它包裝了各種版本的Windows的大量修復(fù)程序，但確實(shí)引起了對(duì)Google報(bào)告給它的安全漏洞的處理的批評(píng)。

但是，似乎這家雷德蒙德巨人的安全問(wèn)題尚未解決，因?yàn)橐环菪聢?bào)告稱(chēng)該公司剛剛修復(fù)了Windows零日漏洞，該漏洞已在2018年報(bào)告給它。

上周，Microsoft修復(fù)了各種Windows版本中的一個(gè)安全漏洞，該漏洞主要用于處理操作系統(tǒng)對(duì)文件簽名的不正確處理。在CVE-2020-1464中，該公司指出：

Windows錯(cuò)誤地驗(yàn)證文件簽名時(shí)，存在一個(gè)欺騙漏洞。成功利用此漏洞的攻擊者可以繞過(guò)安全功能并加載未正確簽名的文件。在攻擊情形中，攻擊者可能會(huì)繞過(guò)旨在防止加載簽名錯(cuò)誤的文件的安全功能。

此更新通過(guò)更正Windows驗(yàn)證文件簽名的方式來(lái)解決漏洞。

安全研究員Tal Be'ery 在Medium上的博客文章中解釋說(shuō)，VirusTotal(由Google擁有的服務(wù))的經(jīng)理Bernardo Quintero最早在2018年8月發(fā)現(xiàn)了該漏洞。這種漏洞在內(nèi)部被稱(chēng)為“ GlueBall”，立刻向微軟報(bào)告，調(diào)查結(jié)果由Quintero于2019年1月發(fā)表。Microsoft確認(rèn)了此問(wèn)題，并在支持工具中添加了緩解措施，但表示不會(huì)在操作系統(tǒng)本身中解決此問(wèn)題。該決定背后的理由并不公開(kāi)。

此后，其他人發(fā)表了幾篇博客文章，解釋了如何使用GlueBall來(lái)利用Windows。然后在2020年6月，著名的社交媒體帳戶(hù)再次突顯了GlueBall。

大約在這個(gè)時(shí)候前后，微軟似乎開(kāi)始認(rèn)真對(duì)待此問(wèn)題，并且終于在本月的補(bǔ)丁星期二發(fā)布了針對(duì)巨大安全漏洞的適當(dāng)修復(fù)程序。根據(jù)Microsoft的安全公告，此缺陷存在于Windows 7、8、8.1，RT 8.1，Server 2008、2012、2016、2019和Windows 10中，一直到2004年版本，并且被許多人利用。操作系統(tǒng)版本。

在對(duì)KrebsonSecurity的模糊聲明中，Microsoft指出：

八月發(fā)布了安全更新。應(yīng)用更新或啟用自動(dòng)更新的客戶(hù)將受到保護(hù)。我們繼續(xù)鼓勵(lì)客戶(hù)打開(kāi)自動(dòng)更新以幫助確保其受到保護(hù)。

至少可以說(shuō)，從微軟的角度來(lái)處理此事件是非常奇怪的。有人想知道為什么微軟將修復(fù)Windows安全漏洞的時(shí)間推遲了近兩年，尤其是當(dāng)該操作系統(tǒng)幾乎所有主要版本中都存在該漏洞時(shí)。