详细内容或原文请订阅后点击阅览
微软还是ZDI:争夺征服MSHTML漏洞的英雄头衔
科技巨头真的可以将别人的荣耀归功于自己吗?
来源:安全实验室新闻频道网络安全行业又爆出丑闻。趋势科技的零日计划 (ZDI) 团队指责微软忽视了他们对发现关键漏洞的贡献。据 ZDI 研究人员称,他们早在 5 月份就报告了这个问题,但当微软在 7 月份发布补丁时,并没有提及他们作为信息来源。
ZDI 微软 补丁我们讨论的是漏洞 CVE-2024-38112,该漏洞影响 MSHTML(之前在 Internet Explorer 中使用的浏览器引擎)。 Microsoft 将其归类为欺骗漏洞,CVSS 等级的严重程度为 7.5 级(满分 10 级)。反过来,ZDI 认为这是一个远程代码执行漏洞,潜在的危险性要大得多。
CVE-2024-38112ZDI 威胁情报主管达斯汀·蔡尔兹 (Dustin Childs) 在接受 The Register 独家采访时表达了对微软行为的困惑。这家科技巨头声称 ZDI 的信息只是关于“深度修复”,但没有解释该术语的确切含义。
Childs 将这一漏洞描述为“非常巧妙”。据他称,攻击者已经找到了一种“复活僵尸 Internet Explorer”的方法。他们设法迫使浏览器加载信息窃取程序,主要目的是窃取加密货币钱包。
“非常有创意”事件发生顺序如下:5月中旬,ZDI发现漏洞并向微软报告。此后,直到 7 月 9 日星期二补丁发布,团队才收到任何信息。 Childs 指出,截至 7 月 8 日星期一,微软安全响应中心 (MSRC) 对该问题的状态为“正在开发”,这导致 ZDI 认为该补丁要到 8 月份才会发布。
补丁发布根据 Childs 的说法,这种情况并非微软所独有,而是该行业更广泛问题的征兆。他指出,包括 Phoenix Contact、Autodesk AutoCAD 和 Ivanti 在内的许多软件制造商有时也会采取同样的做法。