用户再次暴露Google公开与未修补的Windows漏洞

Windows用户再次遭受攻击，因为Google Project Zero工程师已经在操作系统中公开了未修补的漏洞。Google Project Zero成员Mateusz Jurczyk发现了gdi32.dll中的一个漏洞，允许攻击者破坏Windows系统，根据他的博客文章，这个缺陷首次在2016年3月报告给软件巨头。
微软承认该漏洞，并试图与修补它   MS16-074于2016年6月发布，但因为Jurczyk所说的那样，只是问题的一部分，实际上是固定的。
“我们发现，并非所有的DIB相关问题都消失了，”他说。“因此，在Internet Explorer和其他允许将显示的图像数据提取回攻击者的GDI客户端中，可以通过像素颜色公开未初始化或超出边界的堆字节，”他解释说， - 精明的用户。
◆微软补丁没有修复的问题
 

Jurczyk于2016年11月16日再次向Microsoft报告此漏洞，但考虑到该公司没有发布新补丁，他决定根据Google Project Zero披露政策将其公开。作为此程序的一部分，供应商在提交第一个通知后有90天的时间来解决安全问题，如果他们无法修补它们，则会公开详细信息。
微软还没有评论这项新的披露，但公司的下一次修补发生在3月14日，因为这个月的补丁周二推出已经推迟。这意味着用户至少在下个月之前仍然容易受到攻击，如果修补程序确实包含此漏洞的修复程序。不知道这个bug的补丁是否包括在2017年2月补丁周二。
在好的一面，利用这个安全漏洞涉及在易受攻击的机器上部署特制EMF文件，这只能通过直接访问计算机来完成。不言而喻，用户应该远离这些来自他们不能信任的源的文件，至少在补丁被交付之前。
◆以前的Windows漏洞披露
这不是谷歌首次通过未打补丁的安全漏洞上市，因为类似的披露发生在2016年11月，当时公司发布了一个Windows安全漏洞的详细信息，允许网络犯罪分子获得对易受攻击系统的管理员权限。
当时，微软批评Google公开安全漏洞，解释说搜索巨头让所有Windows用户“面临更高的风险”。
“我们认为负责任的技术行业参与将客户放在第一位，需要协调漏洞披露。谷歌决定在修补程序广泛可用和测试之前披露这些漏洞是令人失望的，并给客户带来更大的风险，“Windows老板特里•迈尔森说。
我们已经与Microsoft联系，要求提供有关此新错误的更多信息，我们将在提供答案时更新文章。