谷歌本周早些时候披露了微软Edge中的一个漏洞,因为微软未能及时修补这个漏洞。现在Google的Project Zero安全研究人员团队正在披露另一个Windows 10安全漏洞,微软在谷歌90天的规定期限之前再次未对其进行补丁。Neowin发现谷歌在11月份向微软报告了两个漏洞,但该公司最近只针对其中一个漏洞修复了其最近发布的补丁。
最新的未修补问题是特权提升(Elevation of Privilege),它允许普通用户获得系统的管理员权限。微软将这个漏洞评为“重要”,但不是“关键”,因为它不能被远程利用。这仍然是一个需要解决的重要问题,因为攻击者可能会将其与单独的未知远程代码执行结合起来以获得管理员访问权限,尽管这是不太可能的情况,除非Microsoft没有及时解决它。
微软尚未透露计划何时发布安全补丁
目前尚不清楚微软何时打算解决Windows 10中最新的安全漏洞,而且该公司仍需要解决Google本周早些时候披露的Edge漏洞。谷歌和微软在漏洞披露方面存在分歧。去年,微软回击了谷歌的安全补丁方法,发现了一个Chrome漏洞并“负责任地”向Google披露,以便该公司有足够的时间进行补丁。
谷歌在没有补丁的情况下在90天后披露的政策往往受到同样的批评和鼓掌。有足够的证据表明Windows和整个行业的安全漏洞正在增加,而且微软显然很难在充分注意的情况下解决这两个问题。也可以认为,谷歌正在努力使竞争对手的软件更加安全,使每个人的软件都安全。但是,Google也具有竞争力的商业利益,而Zero Project在寻找和发布新漏洞方面异常积极。
据报道,谷歌的Project Zero安全团队源于2009年谷歌黑客的影响,因为微软的Internet Explorer 6浏览器存在未修复的漏洞。
谷歌对其严格的规则进行例外处理,并采用宽限期,如果漏洞被积极利用,甚至可以更快地披露。谷歌在向微软报告之后的10天内披露了一个重大的Windows漏洞,该公司在补丁发布之前曾透露过Windows中的零日漏洞。
领取专属 10元无门槛券
私享最新 技术干货