微软6个月的时间修复了1个Office漏洞

作者:星期三, 五月 3, 20170
分享:

10亿多微软Office用户处于漏洞风险之下,Word文档暗藏恶意软件成漏洞利用载体。

微软发现Word文档中存在漏洞可供黑客伪装攻击载荷之后,“仅仅”(jìng rán)花了半年,放出了补丁。

该漏洞利用是微软在2016年10月发现的,能将恶意软件隐藏在.doc文件中,危害Windows和Office用户。受害者一旦打开受感染的.doc文件,该文件就会自动连接到服务器,下载一个HTML应用,可让攻击者获得设备完整控制权。所有版本的Office均受影响。

4月11日,微软发布了针对该问题的补丁。在发现漏洞到实际修复这段时间内,芝加哥小熊队时隔108年再夺美职棒大联盟世界大赛冠军,三星 Galaxy Note 7 被召回,特朗普宣誓就任美国总统,NASA发现7颗可能有生命迹象的系外行星。是的,6个月,很多事都可能发生。

4月27号路透社报道,瑞恩·汉森,Optiv安全顾问,在10月份,尚无任何黑客利用过该漏洞之时,就通知了微软该漏洞的存在。微软向路透社透露:该问题的修复非常棘手,因为一旦警告用户,那黑客也就知道可以利用这个漏洞了。

从发现漏洞到放出安全更新的延时,受许多因素的影响,因为每个漏洞都有其特异性,要解决不同的难题。最终,安全更新的开发,是及时性与最佳品质之间的微妙平衡。

——微软代表在声明中的措辞

在漏洞通告上拖延,会让公司陷入危险境地。雅虎现在都还在处理潜在的参议院听证会——参议员马克·华纳指称该互联网巨头在影响了5亿用户账户的数据泄露事件通报上不够及时。而微软这个案例上,黑客在补丁放出前就收到了有Office漏洞的风声。

1月,迈克菲通告了第一起利用该漏洞的攻击,致12亿使用微软Office的用户面临风险。微软却直到3月,安全公司火眼与微软共享了其发现的时候,才知道有活跃攻击这事儿。

4月7号,微软放出补丁前4天,迈克菲揭露了漏洞细节后,攻击暴增。微软发言人称:“迈克菲公开信息之前,我们都没有观测到大范围的漏洞利用活动。”

事件最终随着微软本月初的补丁发布而终结。然而,没有更新Office的用户,依然不安全。

 

分享:

相关文章

写一条评论

 

 

0条评论