谷歌在補丁準備好之前公開了另一個Windows 10安全漏洞
在微軟未能及時修補漏洞後,谷歌本周早些時候披露了微軟Edge的一個漏洞。現在谷歌的項目Zero團隊的安全研究人員正在披露另一個Windows 10的安全漏洞,在谷歌實施的90天期之前,微軟又一次未能修補漏洞。Neowin注意到谷歌在11月向微軟報告了兩個漏洞,但該公司僅用其最近的補丁修補了其中一個漏洞。
最新的未修補問題是特權的提升,允許普通用戶在系統上獲得管理員許可權。微軟認為這一缺陷是「重要的」,但並不是「關鍵」,因為它不能被遠程利用。這仍然是一個重要的問題,因為攻擊者可能會將其與另一個未知的遠程代碼執行結合起來以獲得管理員訪問許可權,儘管這是一個不太可能的場景,除非微軟沒有及時處理。
微軟沒有透露何時計劃發布安全補丁。
目前尚不清楚微軟打算何時解決Windows 10的最新安全漏洞,該公司仍需要解決谷歌本周早些時候披露的Edge漏洞。谷歌和微軟在谷歌的漏洞披露方法上存在分歧。去年,微軟發現了Chrome的漏洞,並「負責任地」將其披露給谷歌,從而對谷歌的安全補丁進行了反擊,因此微軟有足夠的時間來修補漏洞。
谷歌的政策在90天沒有補丁的情況下披露,經常受到批評和稱讚。有大量證據表明,Windows和整個行業的安全漏洞都在增加,而微軟顯然也在努力解決這兩個問題。還可以辯稱,谷歌正在使競爭對手的軟體更加安全,使每個人的軟體安全。然而,谷歌也有競爭的商業利益,Project Zero在發現和發布新漏洞方面異常積極。
有報道稱,谷歌的零安全團隊源於2009年谷歌的黑客攻擊,這是微軟ie 6瀏覽器未修補漏洞的罪魁禍首。
谷歌對其嚴格的規則有例外,有寬限期,如果漏洞被積極利用,它甚至可以更早地披露。谷歌在向微軟報告後的10天內就披露了一個主要的Windows錯誤,並且該公司已經在過去的Windows中發現了零日漏洞。
