谷歌呼吁Windows10 S代码中存在漏洞
谷歌Project Zero的寻人小组在windows10 S中发现了一个漏洞,公开披露了这个问题,尽管微软希望在解决这个问题之前保留这个漏洞。
Project Zero寻找由Google或其他公司制作的软件漏洞,如果发现漏洞,团队通常会私下提醒软件开发人员,并在上市前90天给予警告。
不仅发现这个漏洞已经足够让微软感到尴尬,而且显然它主要影响Windows 10 S,这是一种操作系统版本,它被设计为比其他版本更加锁定和安全,只允许来自Microsoft商店的应用程序被安装。
根据Project Zero的说法,这个漏洞以用户模式代码完整性(UMCI)和Device Guard启用的用户为目标--Windows 10 S默认具有此功能。这允许运行任意代码,这是windows10 S专门设计的目的。
90天的窗口
因为这个漏洞只影响少数PC,即使黑客需要物理访问PC,Project Zero也认为这是一个“中等”的安全缺陷,并且给了微软通常的90天宽限期来解决这个问题。公开。
然而,正如Neowin.net所报道的那样,Google在1月19日向微软提醒了微软,在微软未能在90天之后发布补丁之后,微软周二赶上补丁,微软要求延长14天的延期。
但谷歌拒绝了,显然微软再次要求延长截止日期,以便将其纳入Redstone 4更新(也称为Spring Creators Update)。然而,由于这一更新没有推出新的日期,谷歌再次拒绝延期,现在已经使这个漏洞公开。
这对微软来说有点令人尴尬,我们可以理解为什么它急于避免这个漏洞被公开,但希望谷歌的举动将迫使微软尽快修复。