谷歌 Project Zero 研究员塔维斯·奥曼迪和娜塔莉·西尔万诺维奇,宣称发现了一个Windows高危漏洞。漏洞细节将在90天后公布——无论是否有补丁可用。
上周末,奥曼迪在推特上宣称,他和西尔万诺维奇发现了近年来最糟糕的Windows远程代码执行漏洞。
这位安全专家并未泄露漏洞具体细节,但他阐明,他们创建的漏洞利用程序对默认Windows安装有效,攻击者甚至不需要与受害者处于同一局域网。同时,他还称该攻击是可以“蠕虫化”的。
尽管没有公布任何技术细节,一些业内人士仍然批评这两位谷歌 Project Zero 研究员公开了漏洞的存在。
| 如果一条推文就引发了你公司里的恐慌或混乱,问题就不在于那条推文,而在于你的公司。
——娜塔莉·西尔万诺维奇 2017年5月6日 |
微软发出了以下声明:“Windows向客户承诺调查报告的安全问题,尽快主动升级受影响设备。我们建议客户使用 Windows 10 和 微软 Edge 浏览器以获得最佳防护。”
谷歌通常会给公司90天缓冲期进行漏洞修复再公开漏洞细节,但如果漏洞已经在攻击实例中被利用,那么该最后期限就会缩短至7天。
去年11月,Project Zero 在微软补丁逾期未放出后,公开了某影响Windows内核的零日漏洞。
今年2月,谷歌研究员伊万·弗拉特里克公开了一段概念验证代码,验证的是影响Edge和IE浏览器的严重漏洞。微软在此后数周才修复了该漏洞。
过去几年,谷歌遵循90天原则公开了数个Windows漏洞。2015年2月,鉴于微软和业内其他成员的批评,这家搜索巨头修改了公布策略,但其90天期限依然严格执行。
