谷歌又一次这么做：披露未修补的微软Edge和IE漏洞

除此之外，谷歌上周还披露了Windows图形设备界面（GDI）库中的一个未修补漏洞，该漏洞影响了从Windows Vista Service Pack 2到最新Windows 10的微软Windows操作系统。

尽管该公司尚未修补Windows漏洞，但谷歌今天公布了其浏览器中另一个未修补的Windows安全漏洞的详细信息，因为微软没有在90天的披露期限内采取行动。
该漏洞（CVE-2017-0037）由谷歌零点计划团队的研究员伊万·弗拉特里克发现并披露，是一个所谓的类型混淆缺陷“在Microsoft Edge和Internet Explorer中的一个模块中，可能导致任意代码执行。

概念验证代码发布！

这一次，随着这一任意代码执行漏洞的详细信息，研究人员还发布了一个概念验证漏洞，可以使Edge和IE崩溃，为潜在黑客打开了执行代码的大门，并获得受影响系统的管理员权限。

弗拉特里克说，他在Windows Server 2012 R2上的64位IE版本上成功运行了自己的PoC代码，但32位IE 11和Microsoft Edge都受到相同漏洞的影响。

简而言之，该漏洞影响所有Windows 7、Windows 8.1和Windows 10用户。

你可以在谷歌的bug report博客上了解关于最近披露的漏洞的更多细节，以及导致浏览器崩溃的概念验证代码，尽管老练的黑客也可以利用这些漏洞进行更危险的攻击。

该漏洞于11月25日向微软报告，并于2月25日在谷歌Project Zero的90天披露政策之后公开。

三个未修补但已经暴露的Windows缺陷

虽然微软周二推迟了本月的修补程序，并已经修补了两个已经披露但尚未修补的漏洞，但很难说该公司是否真的在下一批修补程序中包含了谷歌发现的该漏洞的修补程序。

是的，微软还必须修补另外两个严重的安全漏洞，这两个漏洞已经通过有效的攻击代码公开披露，但仍然没有修补，让黑客有足够的时间锁定Windows用户。

第一个是影响Windows 8、Windows 10和Windows Server的Windows SMB漏洞。该漏洞的PoC攻击代码在大约两周前发布。

另一个是谷歌上周披露的漏洞，该漏洞影响了从Windows Vista Service Pack 2到最新Windows 10的微软Windows操作系统。

同时，为了安全起见，建议Windows用户在可能的情况下用不同的浏览器替换他们的Internet Explorer和Edge浏览器，避免点击可疑链接和他们不信任的网站。