谷歌再次披露微软未修复漏洞

微软再次面临未及时修复漏洞的尴尬。

谷歌安全团队Project Zero再次公开披露带有PoC利用代码的未修复漏洞，它影响微软Windows操作系统，从Windows Vista Service Pack 2到最新的Windows 10系统都受影响。

几个月前，谷歌披露了一个严重的Windows漏洞，彼时距披露给微软的时间仅仅过了10天。不过当前披露的漏洞过了90天的窗口期。

这个漏洞存在于Windows的GDI（图形设备接口，Graphics Device Interface）库中，任何使用了这个库的程序都受影响，且如漏洞被利用，会导致黑客窃取内存信息。

虽然微软在去年6月15日发布了一个补丁，但并未修复GDI库中的所有问题，因此谷歌安全团队再次于11月16日（首次于6月9日）附带PoC利用代码告知微软。谷歌安全团队指出，有可能通过像素颜色在IE和其它GDI客户端披露未初始化或界外堆字节，这样就能将提取出的图像数据返回给攻击者。

谷歌安全团队定期从各种软件中找出安全漏洞，并请受影响软件厂商在90天的窗口期公开披露并修复。否则，谷歌就会将漏洞连同详情一起公开。

尽管Windows用户无需恐慌，因为黑客需要物理接近主机才能利用这个漏洞，但微软必须在黑客开发出复杂的利用代码之前发布紧急补丁。

微软最近将本月的周二补丁日延迟了一个月，理由是“最后时刻发现存在影响某些消费者的漏洞并且未被及时解决”。因此如果本月未出现紧急补丁，黑客将会有一个月的时间利用这个新发现的漏洞，从而可能给Windows用户带来潜在风险。