Google在補丁準備好之前披露了另一個Windows 10安全漏洞

谷歌本周早些時候披露了微軟Edge中的一個漏洞，因為微軟未能及時修補這個漏洞。現在Google的Project Zero安全研究人員團隊正在披露另一個Windows 10安全漏洞，微軟在谷歌90天的規定期限之前再次未對其進行補丁。Neowin發現谷歌在11月份向微軟報告了兩個漏洞，但該公司最近只針對其中一個漏洞修復了其最近發布的補丁。

最新的未修補問題是特權提升（Elevation of Privilege），它允許普通用戶獲得系統的管理員許可權。微軟將這個漏洞評為「重要」，但不是「關鍵」，因為它不能被遠程利用。這仍然是一個需要解決的重要問題，因為攻擊者可能會將其與單獨的未知遠程代碼執行結合起來以獲得管理員訪問許可權，儘管這是不太可能的情況，除非Microsoft沒有及時解決它。

微軟尚未透露計劃何時發布安全補丁

目前尚不清楚微軟何時打算解決Windows 10中最新的安全漏洞，而且該公司仍需要解決Google本周早些時候披露的Edge漏洞。谷歌和微軟在漏洞披露方面存在分歧。去年，微軟回擊了谷歌的安全補丁方法，發現了一個Chrome漏洞並「負責任地」向Google披露，以便該公司有足夠的時間進行補丁。

谷歌在沒有補丁的情況下在90天後披露的政策往往受到同樣的批評和鼓掌。有足夠的證據表明Windows和整個行業的安全漏洞正在增加，而且微軟顯然很難在充分注意的情況下解決這兩個問題。也可以認為，谷歌正在努力使競爭對手的軟體更加安全，使每個人的軟體都安全。但是，Google也具有競爭力的商業利益，而Zero Project在尋找和發布新漏洞方面異常積極。

據報道，谷歌的Project Zero安全團隊源於2009年谷歌黑客的影響，因為微軟的Internet Explorer 6瀏覽器存在未修復的漏洞。

谷歌對其嚴格的規則進行例外處理，並採用寬限期，如果漏洞被積極利用，甚至可以更快地披露。谷歌在向微軟報告之後的10天內披露了一個重大的Windows漏洞，該公司在補丁發布之前曾透露過Windows中的零日漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！