匯流新聞網記者藍立晴 / 綜合報導
本周稍早Google披露了微軟網頁瀏覽器Edge中的一項安全漏洞,現在Google旗下Project Zero的安全研究人員又披露了微軟操作系統Windows 10的安全漏洞,因為微軟並未在Google規定的90天內完成補丁。
最新且尚未獲得補丁的Windows 10更新是特權提升問題(Elevation of Privilege),這項漏洞可以讓一般用戶獲得系統管理員的權力,微軟將此漏洞評為重要,但不是臨危等級,因為它並不能透過遠端操控,不過仍然是個急需解決的重要問題。
此Google安全研究人員James Forshaw指出,它只影響Windows 10,目前還沒有看到能影響早期版本如Windows 7或8.1的跡象。
Google在本周稍早披露了微軟瀏覽器Edge的安全漏洞,駭客可以繞過Edge的安全保護機制將惡意程式植入用戶電腦,針對Edge的安全漏洞,微軟表示準備在3月13日發出安全補丁,但目前還不知道微軟什麼時候會修補Windows 10的安全漏洞。
此兩次Google的安全漏洞披露行為都符合微軟的協調弱點揭露(CVD)規則。
Google此種在通知某公司安全漏洞90天之後,在補丁尚未推出的形況下就向大眾披露漏洞的行為一直以來都反應兩極,也並非第一次,微軟還曾對Google公開披露漏洞的行為表示「失望」。
有人認為Google此種行為是在找競爭對手的麻煩,也有人指出,Google這樣的規定可敦促各個科技公司對安全問題更加重視。
沒有留言:
張貼留言