谷歌公布了另一個未修補的windows安全漏洞詳細資訊,根據谷歌的project zero計劃政策,該漏洞在通知對方90天後仍然不修補,那麼谷歌将公布此漏洞。這一次,漏洞存在于微軟edge和internet explorer浏覽器的一個子產品當中。谷歌工程師ivan fratric釋出了一個概念證明,這個漏洞可以使浏覽器崩潰,為潛在的攻擊者獲得受影響系統的管理者權限打開了大門。
fratric說他在windows server 2012 r2上對64位版本的internet explorer進行了分析,但32位internet explorer 11和微軟edge都應受同一漏洞的影響。這意味着windows 7,windows 8.1和windows 10使用者都暴露在了同一漏洞當中。
該漏洞在11月25日報告給了微軟,根據谷歌project zero的政策,該漏洞在2月25日公開,因為微軟尚未提供更新檔。有趣的是,微軟已經推遲了本月應該釋出的例行更新檔,現在計劃在3月14日釋出安全更新,但還不知道公司是否真的在其中修複了谷歌發現的此漏洞。
這是google在短短幾個星期内披露的第二個安全漏洞,谷歌還公布了在2016年3月首次向微軟報告的gdi32.dll中漏洞詳細資訊。谷歌project zero成員mateusz jurczyk試圖說服微軟在2016年6月修補這個缺陷,但問題隻有部分解決,是以在2016年11月向谷歌送出了另一份報告。在3個月的視窗過期後,谷歌公布了此漏洞的細節。
谷歌這次給我們帶來了兩個不同的安全漏洞,微軟尚未推出更新檔進行修複,很難相信微軟會在3月14日之前外修這些漏洞。
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)