谷歌再次披露微软未能修补的Windows漏洞

是的，谷歌的Project Zero团队再次公开披露了一个漏洞(利用POC漏洞)影响微软的Windows操作系统，从Windows Vista Service Pack 2到尚未修补的最新Windows 10。

几个月前，这家搜索引擎巨头在向微软披露了一个严重的Windows漏洞十天后，向公众披露了该漏洞。

然而，这一次谷歌向公众披露了Windows中的漏洞，因为微软未能在该公司规定的90天时间内对其进行修补。

谷歌的Project Zero成员Mateusz Jurczyk于去年6月9日向微软安全团队报告了Windows图形设备接口（GDI）库中的一个漏洞。

该漏洞会影响使用该库的任何程序，如果被利用，可能会让黑客从内存中窃取信息。

虽然微软在6月15日发布了针对该漏洞的补丁，但该公司没有修复GDI库中的所有问题，迫使Project Zero研究员在11月16日再次向微软报告，并提供概念验证。

Jurczyk在新报告中指出：“因此，在Internet Explorer和其他GDI客户端中，有可能通过像素颜色泄露未初始化或越界的堆字节，从而将显示的图像数据提取回攻击者”。

现在，在给予谷歌三个月的宽限期后，谷歌向公众公布了该漏洞的详细信息，包括黑客和恶意行为者。

Google Project Zero团队通常会在不同的软件中发现安全漏洞，并呼吁受影响的软件供应商在发现漏洞后90天内公开披露并修补漏洞。如果没有，该公司会自动公开该漏洞及其细节。

虽然Windows用户不必惊慌失措，因为黑客需要物理访问主机才能利用该漏洞，但在开发复杂的漏洞之前，雷蒙德巨人必须发布紧急补丁。

由于2月14日“一个可能会影响某些客户的最后一刻问题，而且没有及时解决，无法进行[微软]计划的更新”，微软最近将本月的补丁程序推迟了一个月。

因此，如果本月没有预期的紧急补丁，这个新披露的漏洞将留给黑客近一个月的时间来利用；就像我们上次看到的那样，俄罗斯黑客在野外积极利用当时未修补的Windows内核漏洞；这可能会让Windows用户面临潜在风险。