Windows 10安全漏洞仨月都没修复 Google怒而曝光之

Windows 10安全漏洞仨月都没修复 Google怒而曝光之

作为ProjectZero项目的一部分，Google今天公开披露了微软产品的又一个安全漏洞，因为90天静默期已经过去了，微软依然没有解决它。

该漏洞存在于Edge浏览器之中，可让攻击者绕过ACG(ArbitraryCodeGuard)保护机制，攻击Windows10系统。

Google安全研究员IvanFratric解释说，ACG是微软在Windows10Version1703创意者更新中引入的一个安全保护机制，本意是阻止JavaScript脚本载入恶意代码，但攻击者可以利用特殊设计的恶意网站，诱导用户点击，从而发动攻击。

Fratric称早在2017年11月份，他们就通知了微软这个漏洞的情况，但是微软说问题比较复杂，需要多花点时间才能解决，预计要到3月份的月度补丁日才能推送安全更新，也就是3月13日。

这意味着，黑客有将近一个月的时间，去利用这个已公开的漏洞。

目前，避免此攻击的唯一办法就是避免使用Edge浏览器——当然，这类用户本来也不多。