谷歌公布了关键的Windows零日，使所有Windows用户都易受攻击

是的，关键的零日是未修补的，并且正被野外的攻击者利用。

谷歌在私下向微软报告该漏洞10天后公开披露了该漏洞，使得巧克力工厂几乎没有时间修补问题并部署修复程序。

根据谷歌威胁分析小组的一篇博文，上市的原因是它在野外看到了漏洞的利用，根据其内部政策，公司应该在七天后修补或公开报告此类漏洞。

Windows Zero Day正被广泛利用

zero day是Windows操作系统内核中存在的一个本地权限提升漏洞。如果受到攻击，该漏洞可用于逃避沙箱保护，并在受损系统上执行恶意代码。

缺陷“可以通过win32k.sys系统调用NtSetWindowLongPtr（）来触发GWL_样式设置为WS_CHILD的窗口句柄上的索引GWLP_ID。”谷歌的尼尔·梅塔（Neel Mehta）和比利·伦纳德（Billy Leonard）在一篇博客文章中说。

“Chrome的沙盒使用Windows 10上的win32k锁定缓解功能阻止win32k.sys系统调用，从而防止利用此沙盒逃逸漏洞。”

这篇博文还指出，谷歌在联系微软的同时，向Adobe报告了Flash Player的零日缺陷（CVE-2016-7855）。上周三，Adobe为其软件推出了一个紧急补丁。

Flash Player漏洞也被用于针对组织的定向攻击。据Adobe称，该漏洞影响了Windows 7、8.1和10系统。

由于Windows zero day漏洞正在被广泛利用，谷歌周一只分享了该漏洞的基本细节。

微软尚未推出修复方案

不用说，微软对这一消息的披露一点也不高兴。

作为回应，微软表示，谷歌的披露可能会让客户面临风险，并补充称，该公司相信协同漏洞披露。

微软发言人在一份声明中表示：“我们相信协同漏洞披露，谷歌今天的披露将客户置于潜在风险之中。”。“Windows是唯一一个客户承诺调查报告的安全问题并尽快主动更新受影响设备的平台。我们建议客户使用Windows 10和Microsoft Edge浏览器以获得最佳保护。”

微软没有提供任何细节，说明该公司将在何时对该漏洞进行修复。

这不是谷歌和微软第一次在漏洞披露问题上发生争执。微软有很长的错误补丁历史，因此此举最终可能会导致该公司迅速推出更新。

同时，建议用户立即更新Flash软件，并在Windows补丁可用后立即应用。