作为Project Zero安全计划的一部分,Google在90天宽限期内未能解决漏洞的情况下披露了来自微软Edge浏览器的一个重要漏洞。Google安全研究员Ivan Fratric表示该漏洞可以绕过Arbitrary Code Guard来破坏Windows 10系统。微软微软在Windows 10版本1703(创作者更新)中实施了任意代码保护(ACG),但是攻击者却已经绕过了这一安全机制,一旦用户访问到包含恶意代码的页面,技术上就会将计算机权限暴露给攻击者。
在对该错误进行技术分析时,Fratric解释说,微软早在11月份就已经确认得到了通知,但该公司表示,它需要更多时间来发布修复程序。预计在下个月安全更新发布之前,补丁程序将准备就绪,并且计划在3月13日发布。
“修复比最初预想的要复杂得多,由于这些内存管理问题,我们很可能无法达到2月份发布的期限。”微软安全团队确信补丁可以在3月13日发布,但这超出了90天的宽限期,以配合周二更新。“微软表示。
目前唯一保持安全的方法是避免使用Microsoft Edge访问未知网站。通常,这些网站通过电子邮件或即时消息传播,来自不受信任的来源,所以只要您远离此类链接,应该就没有多大问题。
了解更多:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1435