微軟的零日漏洞開始累積。上週,谷歌零號計畫公佈了一項技術細節Windows 中未修補的缺陷,允許透過捕獲的文件存取機器的記憶體。
這次,安全研究人員發現了更好的結果:Edge 和 Internet Explorer 11 中存在一個零日漏洞,允許使用管理員權限遠端執行任意程式碼(CVE-2017-0037)。該漏洞的嚴重性被 Google 歸類為“重要”,是由瀏覽器函數呼叫中處理指標的錯誤造成的。
根據其章程,Google零計畫研究人員發布了在他們的網站上向 Microsoft 發出警報 90 天後了解此缺陷的技術細節。用 HTML 和 Javascript 寫的利用程式碼也可以在漏洞利用-db.com。我們希望發行商能夠在 3 月 14 日的下一個「週二補丁日」中修復這個缺陷。在那之前,用戶最好使用其他瀏覽器,例如 Chrome 或 Firefox。
閱讀:Windows:Google發布了微軟尚未修復的零時差漏洞
對微軟來說,這其實是目前正在傳播的第三個零日漏洞。二月初,獨立研究員 Laurent Gaffié(別名)Python是回應器– 事實上已經發布了 SMB(伺服器訊息區塊)檔案共享協定中的漏洞的詳細資訊。它將允許以核心權限執行任意程式碼。操作代碼也可在漏洞利用-db.com。
這些未修補的缺陷的累積使得我們越來越難以找到一個看似簡單的問題的邏輯答案:為什麼微軟在這些問題上反應相當激烈,花了這麼長時間來糾正所有這些缺陷?
