谷歌 Project Zero 研究員塔維斯·奧曼迪和娜塔莉·西爾萬諾維奇，宣稱發(fā)現(xiàn)了一個Windows高危漏洞。漏洞細(xì)節(jié)將在90天后公布——無論是否有補(bǔ)丁可用。

上周末，奧曼迪在推特上宣稱，他和西爾萬諾維奇發(fā)現(xiàn)了近年來最糟糕的Windows遠(yuǎn)程代碼執(zhí)行漏洞。

這位安全專家并未泄露漏洞具體細(xì)節(jié)，但他闡明，他們創(chuàng)建的漏洞利用程序?qū)δJ(rèn)Windows安裝有效，攻擊者甚至不需要與受害者處于同一局域網(wǎng)。同時，他還稱該攻擊是可以“蠕蟲化”的。

盡管沒有公布任何技術(shù)細(xì)節(jié)，一些業(yè)內(nèi)人士仍然批評這兩位谷歌 Project Zero 研究員公開了漏洞的存在。

微軟發(fā)出了以下聲明：“Windows向客戶承諾調(diào)查報告的安全問題，盡快主動升級受影響設(shè)備。我們建議客戶使用 Windows 10 和 微軟 Edge 瀏覽器以獲得最佳防護(hù)。”

谷歌通常會給公司90天緩沖期進(jìn)行漏洞修復(fù)再公開漏洞細(xì)節(jié)，但如果漏洞已經(jīng)在攻擊實例中被利用，那么該最后期限就會縮短至7天。

去年11月，Project Zero 在微軟補(bǔ)丁逾期未放出后，公開了某影響Windows內(nèi)核的零日漏洞。

今年2月，谷歌研究員伊萬·弗拉特里克公開了一段概念驗證代碼，驗證的是影響Edge和IE瀏覽器的嚴(yán)重漏洞。微軟在此后數(shù)周才修復(fù)了該漏洞。

過去幾年，谷歌遵循90天原則公開了數(shù)個Windows漏洞。2015年2月，鑒于微軟和業(yè)內(nèi)其他成員的批評，這家搜索巨頭修改了公布策略，但其90天期限依然嚴(yán)格執(zhí)行。