谷歌披露了另一个未打补丁的 Windows 漏洞 Edge 用户处于风险之中

谷歌公布了另一个未修补的 Windows 安全漏洞详细信息，根据谷歌的 Project Zero 计划政策，该漏洞在通知对方 90 天后仍然不修补，那么谷歌将公布此漏洞。这一次，漏洞存在于微软 Edge 和 Internet Explorer 浏览器的一个模块当中。谷歌工程师 Ivan Fratric 发布了一个概念证明，这个漏洞可以使浏览器崩溃，为潜在的攻击者获得受影响系统的管理员权限打开了大门。

Fratric 在 Windows Server 2012 R2 上对 64 位的 Internet Explorer 进行了分析，但 32 位 Internet Explorer 11 和微软 Edge 都应受同一漏洞的影响。这意味着 Windows 7，Windows 8.1 和 Windows 10 用户都暴露在了同一漏洞当中。该漏洞在 11 月 25 日报告给了微软，根据谷歌 Project Zero 的政策，该漏洞在 2 月 25 日公开，因为微软尚未提供补丁。有趣的是，微软已经推迟了本月应该发布的例行补丁，现在计划在 3 月 14 日发布安全更新，但还不知道公司是否真的在其中修复了谷歌发现的此漏洞。

这是 Google 在短短几个星期内披露的第二个安全漏洞，谷歌还公布了在 2016 年 3 月首次向微软报告的 gdi32.dll 中漏洞详细信息。谷歌 Project Zero 成员 Mateusz Jurczyk 试图说服微软在 2016 年 6 月修补这个缺陷，但问题只有部分解决，所以在 2016 年 11 月向谷歌提交了另一份报告。在 3 个月的窗口过期后，谷歌公布了此漏洞的细节。

谷歌这次给我们带来了两个不同的安全漏洞，微软尚未推出补丁进行修复，很难相信微软会在 3 月 14 日之前外修这些漏洞。

稿源：cnBeta；封面源自网络

from hackernews.cc.thanks for it.