微软迟迟不改!?谷歌公布尚未修复的Win10超危险漏洞

记者庄友直台北报导

对各家作业系统来说,借由更新来修复影响安全的系统漏洞时有所闻,以最易受攻击的 Windows 来说,通常微软会先收到相关单位通报,经修复后才会公开相关资讯。然而近期 Google 在通知微软关于 Edge 与 IE 浏览器的漏洞后,经过 90 天官方还没修复,就马上公诸于世,好像做得有点绝了?

根据外媒 Gizmodo 的消息指出,Google 旗下的安全部分 Project Zero 在去年 11/25 日时,就发现了关于 Windows 10 旗下的 Edge,与 IE 浏览器的严重漏洞,并立即向微软公布。而根据 Google 研究员 Ivan Fratric 表示,通常官方会给 90 天的时间给通报单位修复后,再行公开,但没想到微软居然会超过 90 天后还未修复,因此就在近期正式公布。

▼在 Google 安全部门 Project Zero 中,就揭露了此项漏洞,并阐明要是未在 90 天后修复,还是会自动公开。(图/翻摄自 Google)

而这项漏洞也已经收录在美国国家漏洞资料库(NVD)中,代号为 CVE-2017-0037,主要的隐忧在于骇客利用其作为破口,在远端进行攻击或是执行不同代码,恐会严重影响电脑中的隐私资讯。且这项漏洞在 CVSS 评分中,被评定为风险,足见其代表危险性

▼这项漏洞也已经收录在美国国家漏洞资料库(NVD)中,代号为 CVE-2017-0037,且被评为高风险,足见其危险性。(图/翻摄自 NVD)

虽然目前公布后尚未有类似的灾情产生,但微软也在近期向 Gizmodo 回应,指出在期间内一直与 Google 联系,希望能延长公布的期限,因为在未修复前公布,恐怕对用户会造成极大风险,目前也正在进行修复中。另外,其实这也不是 Google 第一次做这种事,在去年发现一个 Win32k 漏洞后,通报给微软十天后,就马上对外公开,同样也受到微软的抨击。

资料来源:Gizmodo