谷歌在10天内揭露了未修补的Windows漏洞细节

Google的projectzero发布了windows10内核中缓冲区溢出漏洞的概念证明代码，该漏洞可用于本地权限提升，在操作系统上运行恶意软件。如果加上最近修补的Chrome漏洞，这将允许网络恶意软件逃离Chrome沙盒，完全控制PC。

谷歌说这个缺陷(CVE-2020-17087)微软只给了微软7天的时间来修补它，这一期限毫无疑问已经过去了，没有修补程序。

据ProjectZero的技术负责人BenHawkes称，微软计划在11月10日发布一个补丁。

尽管这一漏洞被肆无忌惮地利用，但谷歌和微软都表示，这些攻击是“有针对性的”，但与美国大选无关。

微软的一位发言人说，所报告的攻击是非常有限的，而且是有针对性的，我们还没有看到任何证据表明这种攻击被广泛使用

当然，现在概念验证代码已经发布了，这很可能不再是这样了。

该漏洞被认为会影响到Windows 7之前的Windows版本，以及Windows 10的所有完整修补版本。

微软在一份声明中说：

Microsoft承诺调查报告的安全问题并更新受影响的设备以保护客户。虽然我们致力于满足所有研究人员的披露截止日期，包括本场景中的短期截止日期，但开发安全更新是在及时性和质量之间的平衡，我们的最终目标是帮助确保最大限度地保护客户，同时尽量减少客户中断