Google 安全專家又在 Windows 操作系統(tǒng)中發(fā)現(xiàn)了一個漏洞,而且這一次看起來情況非常糟糕。Project Zero 研究員 Tavis Ormandy 和 Natalie Silvanovich 在上周末宣布了這個“最糟糕”的 RCE 漏洞,但并未披露其它細節(jié)和風險:“我們可能剛發(fā)現(xiàn)了近段時間里最糟糕的 Windows 遠程代碼執(zhí)行漏洞,攻擊者們不需要處于同一個局域網(wǎng)中就可以靜默安裝,這簡直是一個蟲洞”。
微軟方面暫未就此事作出回應(yīng),但該公司至少有 90 天的時間窗口去開發(fā)修復(fù)補丁。如果它未來 3 個月都沒能成事,那兩位研究人員將把漏洞詳情公布在互聯(lián)網(wǎng)上,這是 Google Project Zero 項目的一貫政策。
其實,這并不是 Google 安全研究人員首次(及近期)在微軟產(chǎn)品中發(fā)現(xiàn)的漏洞,此前 Google 也曾在“超期”后強行曝露過其它漏洞的詳情,比如今年 2 月份時曝光的某個微軟瀏覽器漏洞。
盡管微軟在下一個“補丁星期二”中進行了修復(fù),但還是對 Google 強力打臉(公開披露漏洞詳情)的行為表示了不滿,指責這樣會讓數(shù)百上千萬的 Windows 用戶處于風險之中。
至于微軟能否在下一個“補丁星期二”(就在明天)中修復(fù)上周末曝光的這個“糟糕透頂”的漏洞,目前看來仍有待觀察。