在微软未能及时修补漏洞后,谷歌本周早些时候披露了微软Edge的一个漏洞。现在谷歌的项目Zero团队的安全研究人员正在披露另一个Windows 10的安全漏洞,在谷歌实施的90天期之前,微软又一次未能修补漏洞。Neowin注意到谷歌在11月向微软报告了两个漏洞,但该公司仅用其最近的补丁修补了其中一个漏洞。
最新的未修补问题是特权的提升,允许普通用户在系统上获得管理员权限。微软认为这一缺陷是“重要的”,但并不是“关键”,因为它不能被远程利用。这仍然是一个重要的问题,因为攻击者可能会将其与另一个未知的远程代码执行结合起来以获得管理员访问权限,尽管这是一个不太可能的场景,除非微软没有及时处理。
微软没有透露何时计划发布安全补丁。
目前尚不清楚微软打算何时解决Windows 10的最新安全漏洞,该公司仍需要解决谷歌本周早些时候披露的Edge漏洞。谷歌和微软在谷歌的漏洞披露方法上存在分歧。去年,微软发现了Chrome的漏洞,并“负责任地”将其披露给谷歌,从而对谷歌的安全补丁进行了反击,因此微软有足够的时间来修补漏洞。
谷歌的政策在90天没有补丁的情况下披露,经常受到批评和称赞。有大量证据表明,Windows和整个行业的安全漏洞都在增加,而微软显然也在努力解决这两个问题。还可以辩称,谷歌正在使竞争对手的软件更加安全,使每个人的软件安全。然而,谷歌也有竞争的商业利益,Project Zero在发现和发布新漏洞方面异常积极。
有报道称,谷歌的零安全团队源于2009年谷歌的黑客攻击,这是微软ie 6浏览器未修补漏洞的罪魁祸首。
谷歌对其严格的规则有例外,有宽限期,如果漏洞被积极利用,它甚至可以更早地披露。谷歌在向微软报告后的10天内就披露了一个主要的Windows错误,并且该公司已经在过去的Windows中发现了零日漏洞。
领取专属 10元无门槛券
私享最新 技术干货