再次打臉！谷歌又搶在微軟前公佈Windows漏洞詳情

微軟再次陷入了一個窘境，因未及時修復一個漏洞，反被谷歌搶先公佈了該漏洞的exp。谷歌的Project Zero再次在微軟未修復漏洞之前，公佈了漏洞的存在，並且還公佈了漏洞的exp。

幾個月以前，搜尋引擎巨頭谷歌向公眾披露了一個非常嚴重的Windows漏洞。公開披露漏洞本身並不具有任何問題，但是問題在於谷歌是在微軟未修復漏洞之前公開披露的，一時間輿論紛然，有人說是谷歌的行為過激，沒有超過90天的公佈期限就公佈別人的漏洞是不善良的行為。

但是這次的情況完全不一樣，谷歌提前已經將這個漏洞提交給了微軟，並且時間也已經超過了90天，遺憾的是，微軟並沒有修復，所以谷歌按照自己的漏洞披露流程公佈了這枚漏洞及其exp。

漏洞詳情

谷歌Project Zero小組成員Mateusz Jurczyk詳細描述了該漏洞，它存在於Windows的圖形裝置介面（GDI）庫中，影響所有基於該庫的專案。如果被攻擊者成功利用，可能會導致記憶體中的敏感資訊洩露。從Windows Vista Service Pack 2 到最新版本的Windows 10均受該漏洞的影響。

等了半年，微軟遲遲不肯修復

Project Zero於2016年6月9日向微軟提交了該漏洞，但是90天已經過去了，微軟只是修復了GDI中的部分安全問題，並不是所有問題，所以谷歌Project Zero小組不得不再次向微軟報告了這一問題，並且還提供了一個POC，再次提交漏洞的時間是11月16日。

時至今日，3個月又過去了，微軟還是沒有修復GDI庫中的問題。於是谷歌決定向公眾（包括駭客和惡意攻擊者）披露，告訴大家微軟的GDI上存在安全問題。

也許披露該漏洞對普通大眾不會造成什麼嚴重影響，但是，對駭客卻大有用處，他們可以利用該漏洞訪問受害者裝置，竊取其中的敏感資訊。

微軟方面的應急

微軟已經決定推遲本月的補丁更新時間，原因可能是，他們正在緊急修復該漏洞。

本文參考來源於thehackernews，如若轉載，請註明來源於嘶吼： 微軟未修復漏洞，卻被谷歌優先發布了exp 更多內容請關注“嘶吼專業版——Pro4hou”