据报道,Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞,但并未披露细节和风险:“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞,攻击者们不需要处于同一局域网中就可静默安装,这简直是一个虫洞 ”。
目前,微软尚未就此事作出回应,但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复,那两位研究人员将会把漏洞详情公布在互联网中,这是 Google Project Zero 项目的一贯政策。其实,这并非 Google 安全研究人员首次(及近期)在微软产品中发现的漏洞,此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情,比如今年 2 月份时曝光的某个微软浏览器漏洞。
尽管微软在上一个 “ 补丁星期二 ” (5 月 2 日)中进行了修复,但还是对 Google 披露漏洞(公开披露漏洞详情)行为表示不满,指责该举措将致使成千上万的 Windows 用户处于风险之中。此外,至于微软能否在 5 月 10 日修复上周曝光的漏洞,目前仍有待观察。
稿源:cnBeta,封面源自网络
from hackernews.cc.thanks for it.