谷歌公布了另一个未修补的windows安全漏洞详细信息,根据谷歌的project zero计划政策,该漏洞在通知对方90天后仍然不修补,那么谷歌将公布此漏洞。这一次,漏洞存在于微软edge和internet explorer浏览器的一个模块当中。谷歌工程师ivan fratric发布了一个概念证明,这个漏洞可以使浏览器崩溃,为潜在的攻击者获得受影响系统的管理员权限打开了大门。
fratric说他在windows server 2012 r2上对64位版本的internet explorer进行了分析,但32位internet explorer 11和微软edge都应受同一漏洞的影响。这意味着windows 7,windows 8.1和windows 10用户都暴露在了同一漏洞当中。
该漏洞在11月25日报告给了微软,根据谷歌project zero的政策,该漏洞在2月25日公开,因为微软尚未提供补丁。有趣的是,微软已经推迟了本月应该发布的例行补丁,现在计划在3月14日发布安全更新,但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。
这是google在短短几个星期内披露的第二个安全漏洞,谷歌还公布了在2016年3月首次向微软报告的gdi32.dll中漏洞详细信息。谷歌project zero成员mateusz jurczyk试图说服微软在2016年6月修补这个缺陷,但问题只有部分解决,所以在2016年11月向谷歌提交了另一份报告。在3个月的窗口过期后,谷歌公布了此漏洞的细节。
谷歌这次给我们带来了两个不同的安全漏洞,微软尚未推出补丁进行修复,很难相信微软会在3月14日之前外修这些漏洞。
![Windows系统下通过CMD命令行或运行窗口打开常用附件和功能[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)