谷歌曝光Windows嚴重漏洞：近期最糟糕、被用於遠程攻擊

雷鋒網消息，眾所周知，谷歌內部有一個超級黑客團隊——「Project Zero」，據 securityaffairs 5月8日報道，谷歌 Project Zero 的研究員在微軟 Windows OS 中發現了一個遠程代碼執行漏洞（RCE），但是這並非簡單的 RCE，他們把它定性為「近期最糟糕的 Windows RCE」。

上周末，Project Zero 的研究員 Tavis Ormandy 和 Natalie Silvanovich 在社交網站上公布了這一發現，不過，他們卻沒有透露太多的細節。

【Tavis Ormandy的社交網站截圖】

「我認為，我和@natashenka 剛發現了 Windows 的遠程執行代碼漏洞，這個漏洞太可怕了，報告在路上。」

「攻擊者們不需要處於同一個區域網中就可以靜默安裝，這簡直是一個蟲洞。」

不過，他們並沒有公布該漏洞的細節。雷鋒網了解到，Project Zero 是谷歌的互聯網安全項目，該團隊主要由谷歌內部頂尖安全工程師組成，致力於發現、跟蹤和修補全球性的軟體安全漏洞，按照谷歌的規定，他們在公布漏洞前， 首先通報軟體廠商並給他們90天的時間發布和修復補丁，然後才會將漏洞細節公之於眾。

不過上述專家也發布了這些可供參考的信息：

• Project Zero 團隊已經根據 POC 對 Windows 默認安裝進行研究。

• Windows 該 RCE 漏洞可能被遠程攻擊者利用。

• 攻擊是「蠕蟲式」，可以自我傳播。

如果你想看到漏洞詳情，可能要再等 90 天。不過，谷歌的這個「90」天政策一直被安全研究者詬病，尤其是微軟，頗有微言。比如，2015年，微軟公開對谷歌公布其 windows8.1 系統漏洞的行為抱怨，因為微軟原定於幾天後就發布漏洞的補丁。但是，谷歌的專家向來不管他們的意見。

你看，Natalie Silvanovich 在社交網站上就很明顯地「懟」上來了：如果一個推文能引起一個組織的恐慌或者困惑，那麼問題不出在推文上，而是你家組織上。

今年2月，谷歌的研究人員披露了 Edge 和Internet Explorer 瀏覽器中未修補漏洞的細節。

據雷鋒網了解，目前，微軟方面還未對此回應。不過，考慮到微軟的「補丁星期二」（美國時間）即將到來，微軟或許會發布相關補丁。