谷歌0日搜索发现“疯狂坏”Windows RCE漏洞

微软发布了一个紧急安全更新，以修补其微软恶意软件保护引擎（MMPE）中报告的严重错误远程代码执行漏洞，该漏洞影响Windows 7、8.1、RT和10计算机，以及Windows Server 2016操作系统。

Google Project Zero的安全研究人员在微软的Windows操作系统中发现了另一个关键的远程代码执行（RCE）漏洞，声称这是一个非常糟糕的问题。

塔维斯·奥曼迪（Tavis Ormandy）在周末宣布，他和另一位零号项目研究员娜塔莉·西尔瓦诺维奇（Natalie Silvanovich）发现了这一点“最近内存中最糟糕的Windows远程代码[执行漏洞]。这太糟糕了。马上报告。”

奥曼迪没有提供有关Windows RCE漏洞的任何进一步细节，因为谷歌给所有软件供应商一个90天的安全披露期限，让他们修补产品并向公众披露。

这意味着，即使微软未能修补该问题，Windows中新的RCE漏洞的详细信息也可能在90天后被披露。

然而，奥曼迪后来透露了Windows RCE漏洞的一些细节，并澄清：

• 他们声称发现的漏洞适用于默认Windows安装。
• 攻击者不需要与受害者位于同一局域网（LAN），这意味着易受攻击的Windows计算机可以被远程黑客攻击。
• 这种攻击是“可恶的”，具有自我传播的能力。

尽管甚至没有公布任何关于RCE漏洞的技术细节，但一些为企业工作的IT专业人士批评谷歌项目Zero研究人员将漏洞的存在公之于众，而Twitter的信息安全社区对这项工作感到满意。

“如果一条推文在你的组织中引起恐慌或混乱，问题不在于推文，而在于你的组织，”零计划研究员娜塔莉·西尔瓦诺维奇在推文中写道。

这不是谷歌的安全研究人员第一次发现微软产品的缺陷。最近一次是在2月，谷歌研究人员披露了影响微软Edge和Internet Explorer浏览器的未修补漏洞的细节。

微软周二发布了一个补丁，作为下一个补丁的一部分，但批评谷歌将所有细节公开，让数百万Windows用户面临被黑客攻击的风险。

微软尚未对最新的声明做出回应，但该公司已将2017年5月的补丁程序定于明天（5月9日）发布，因此，希望它将包括一个安全补丁来解决此问题。