靠谱的软件下载站
当前位置:  IEfans/IE专区/IE相关/微软向Chrome及Opera发布浏览器漏洞通报

微软向Chrome及Opera发布浏览器漏洞通报

IE相关 互联网 2011-04-20 阅读(1267)
微软周二(4/19)发出两则安全通告,指出Google Chrome及Opera两款第三方制作的浏览器有漏洞,微软发现漏洞后均告知对方,目前Google与Opera也都已经修补完成。 微软在2009年也曾经揭露Chrome Frame(在IE浏览器中调用Chrome内核渲染网页的插件)漏洞,但当时仅通知Google,并由Google在修补后发出公告。这次的两份通告是微软首度针对第三方产品漏洞发出安全通告。 微软在第一份通告中指出,Chrome 6.0.472.55及之前版本含有一个「使用释放后记忆体物件寿命缺陷」(use-after-free object lifetime flaw),导致Chrome停止回应或跳出,并允许恶意程序在沙盒内执行任意指令,但可能仍受沙盒无法随意读写资料的限制。Google已经于去年9/14修补该漏洞。 第二份通告则指出Chrome 8.0.552.210版、Opera 10.62两个浏览器包括之前版本,没有遵守HTML5对于用户资料的保护规范,可能导致恶意网站攻击。Google于去年12/02修补,Opera则是在去年10/12释出10.63板修补。 去年Google与微软之间,为了系统或应用程序的漏洞公布问题至少产生两次纷争。一是去年六月Google工程师Tavis Ormandy直接在论坛公布Windows XP与Windows Server 2003的安全漏洞及概念性验证程序;第二次是去年九月Google工程师Chris Evans在Full Disclosure mailing list揭露IE一个陈年的CSS安全漏洞。 根据微软所公布的文件表示,该公司从去年七月开始,规定所有员工不管是在上班时间或个人时间,只要发现漏洞均需提报。若是微软之外的厂商产品出现问题,则由员工本人名义通知该厂商。微软并规定必须由厂商公布该漏洞相关资料,除非该厂商置之不理、超过六十天还未修补,或者该漏洞已经遭散布。 微软可能在相关政策有所改变,否则自去年七月至今已经约9个月,不应该到目前才开始发布相关信息,尤其是第三方公布超过一季之后。部分媒体认为微软在示范所谓「负责任的漏洞揭露方式」,微软曾指责Tavis Ormandy暴露零时漏洞是不负责任的作法,不但无法降低用户损失,反而放大灾情。

标签:Chrome浏览器漏洞OPERA浏览器相关

Copyright © 1998-2017 www.iefans.net All Rights Reserved 湘ICP备13012168号-17