時間:2018-02-18 來源:互聯網 瀏覽量:
作為Project Zero項目的一部分,Google今天公開披露了微軟產品的又一個安全漏洞,因為90天靜默期已經過去了,微軟依然沒有解決它。
該漏洞存在於Edge瀏覽器之中,可讓攻擊者繞過ACG(Arbitrary Code Guard)保護機製,攻擊Windows 10係統。
Google安全研究員Ivan Fratric解釋說,ACG是微軟在Windows 10 Version 1703創意者更新中引入的一個安全保護機製,本意是阻止JavaScript腳本載入惡意代碼,但攻擊者可以利用特殊設計的惡意網站,誘導用戶點擊,從而發動攻擊。
Fratric稱早在2017年11月份,他們就通知了微軟這個漏洞的情況,但是微軟說問題比較複雜,需要多花點時間才能解決,預計要到3月份的月度補丁日才能推送安全更新,也就是3月13日。
這意味著,黑客有將近一個月的時間,去利用這個已公開的漏洞。
目前,避免此攻擊的唯一辦法就是避免使用Edge瀏覽器——當然,這類用戶本來也不多。
