微软显然只是修复了2018年首次报告的Windows安全漏洞

　　微软显然只是修复了2018年首次报告的Windows安全漏洞

　　微软修复了上周发布的本月补丁星期二更新中的许多错误。尽管它包装了各种版本的Windows的大量修复程序，但确实引起了对Google报告给它的安全漏洞的处理的批评。

　　但是，似乎这家雷德蒙德巨人的安全问题尚未解决，因为一份新报告称该公司刚刚修复了Windows零日漏洞，该漏洞已在2018年报告给它。

　　上周，微软修复了Windows各种版本中的一个安全漏洞，该漏洞主要用于处理操作系统对文件签名的不正确处理。在CVE-2020-1464中，该公司指出：

　　Windows错误地验证文件签名时，存在一个欺骗漏洞。成功利用此漏洞的攻击者可以绕过安全功能并加载未正确签名的文件。在攻击情形中，攻击者可能会绕过旨在防止加载签名错误的文件的安全功能。

　　此更新通过更正Windows验证文件签名的方式来解决漏洞。

　　安全研究员Tal Be'ery 在Medium上的博客文章中解释说，VirusTotal(由Google拥有的服务)的经理Bernardo Quintero最早在2018年8月发现了该漏洞。这种漏洞在内部被称为“ GlueBall”，立即向微软报告而发现被金特罗发表在2019年一月。微软确认了该问题，并在支持工具中添加了缓解措施，但表示不会在操作系统本身中解决此问题。该决定背后的理由并不公开。

　　此后，其他人发表了几篇博客文章，解释了如何使用GlueBall来利用Windows。然后在2020年6月，著名的社交媒体帐户再次突显了GlueBall。

　　大约在这个时候，微软似乎开始认真对待此问题，并在本月的补丁星期二终于发布了对巨大安全漏洞的适当修复程序。根据Microsoft的安全公告，此缺陷存在于Windows 7、8、8.1，RT 8.1，Server 2008、2012、2016、2019和Windows 10中，一直到2004年版本，并且已被大量利用。操作系统版本。

　　在对KrebsonSecurity的模糊声明中，微软 说：

　　八月发布了安全更新。应用更新或启用自动更新的客户将受到保护。我们继续鼓励客户打开自动更新以帮助确保其受到保护。

　　Microsoft处理此事件至少可以说，这是非常奇怪的结局。有人想知道为什么微软将修复Windows安全漏洞的时间推迟了近两年，尤其是当该操作系统实际上存在于所有主要版本中时。