微軟未按時(shí)修復(fù)中度Win10 S漏洞，谷歌將其公布

IT之家4月20日消息 日前谷歌Project Zero團(tuán)隊(duì)公布了微軟的Windows 10 S操作系統(tǒng)的一個(gè)“中度”安全漏洞。值得一提的是，該團(tuán)隊(duì)在今年一月就已經(jīng)向微軟報(bào)告了該漏洞，但是直到今年4月的補(bǔ)丁發(fā)布日，微軟也并未能完成修復(fù)。

Windows 10 S是一款由微軟開發(fā)的沙盒操作系統(tǒng)，具有如無法運(yùn)行Win32應(yīng)用等限制。通過此次發(fā)現(xiàn)的漏洞，攻擊者可以在啟用了UMCI（包括Windows 10上默認(rèn)啟用的設(shè)備保護(hù)Device Guard）的系統(tǒng)上執(zhí)行任意代碼。

不過需要注意的是，該漏洞只影響啟用了Device Guard的Windows 10 S系統(tǒng)，且無法被遠(yuǎn)程執(zhí)行。為了能夠修改相應(yīng)的注冊表項(xiàng)，攻擊者需要先在本地系統(tǒng)上執(zhí)行代碼，這讓這一問題顯得不是那么嚴(yán)重。谷歌認(rèn)為，Edge瀏覽器中的遠(yuǎn)程代碼執(zhí)行（RCE）仍是一個(gè)風(fēng)險(xiǎn)，若這一問題得到修復(fù)，該漏洞就不會(huì)顯得那么嚴(yán)重了。

谷歌最早在1月19日就向微軟報(bào)告了這個(gè)漏洞，標(biāo)準(zhǔn)的90天截止日期過后，微軟仍未修復(fù)它。微軟要求進(jìn)行為期14天的延期，表示將在5月補(bǔ)丁中推出漏洞修復(fù)補(bǔ)丁。但該日期已經(jīng)超出了寬限期，谷歌拒絕了這一請求。

由于這一漏洞主要影響Windows 10 S系統(tǒng)，我們也可稍稍坐穩(wěn)放寬。預(yù)計(jì)在5月8日的星期二補(bǔ)丁發(fā)布日，微軟就會(huì)推出相應(yīng)的補(bǔ)丁。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。