微软迟迟不改！？谷歌公布尚未修复的Win10超危险漏洞

记者庄友直 ／台北报导

对各家作业系统来说，借由更新来修复影响安全的系统漏洞时有所闻，以最易受攻击的 Windows 来说，通常微软会先收到相关单位的通报，经修复后才会公开相关资讯。然而近期 Google 在通知微软关于 Edge 与 IE 浏览器的漏洞后，经过 90 天官方还没修复，就马上公诸于世，好像做得有点绝了？

根据外媒 Gizmodo 的消息指出，Google 旗下的安全部分 Project Zero 在去年 11/25 日时，就发现了关于 Windows 10 旗下的 Edge，与 IE 浏览器的严重漏洞，并立即向微软公布。而根据 Google 研究员 Ivan Fratric 表示，通常官方会给 90 天的时间给通报单位修复后，再行公开，但没想到微软居然会超过 90 天后还未修复，因此就在近期正式公布。

▼在 Google 安全部门 Project Zero 中，就揭露了此项漏洞，并阐明要是未在 90 天后修复，还是会自动公开。（图／翻摄自 Google）

而这项漏洞也已经收录在美国国家漏洞资料库（NVD）中，代号为 CVE-2017-0037，主要的隐忧在于骇客可利用其作为破口，在远端进行攻击或是执行不同代码，恐会严重影响电脑中的隐私资讯。且这项漏洞在 CVSS 评分中，被评定为高风险，足见其代表的危险性。

▼这项漏洞也已经收录在美国国家漏洞资料库（NVD）中，代号为 CVE-2017-0037，且被评为高风险，足见其危险性。（图／翻摄自 NVD）

虽然目前公布后尚未有类似的灾情产生，但微软也在近期向 Gizmodo 回应，指出在期间内一直与 Google 联系，希望能延长公布的期限，因为在未修复前公布，恐怕对用户会造成极大风险，目前也正在进行修复中。另外，其实这也不是 Google 第一次做这种事，在去年发现一个 Win32k 漏洞后，通报给微软十天后，就马上对外公开，同样也受到微软的抨击。

资料来源：Gizmodo