Google 安全专家在线公布 Windows 远程代码执行漏洞

据报道，Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞，但并未披露细节和风险：“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞，攻击者们不需要处于同一局域网中就可静默安装，这简直是一个虫洞 ”。

目前，微软尚未就此事作出回应，但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复，那两位研究人员将会把漏洞详情公布在互联网中，这是 Google Project Zero 项目的一贯政策。其实，这并非 Google 安全研究人员首次（及近期）在微软产品中发现的漏洞，此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情，比如今年 2 月份时曝光的某个微软浏览器漏洞。

尽管微软在上一个 “ 补丁星期二 ” （5 月 2 日）中进行了修复，但还是对 Google 披露漏洞（公开披露漏洞详情）行为表示不满，指责该举措将致使成千上万的 Windows 用户处于风险之中。此外，至于微软能否在 5 月 10 日修复上周曝光的漏洞，目前仍有待观察。

稿源：cnBeta，封面源自网络

from hackernews.cc.thanks for it.