谷歌旗下的安全团队近日再度曝光了windows 10中尚未修补的安全漏洞。此漏洞可能致使服务器遭遇拒绝服务的问题。最初,这一漏洞在三个月前便已被发现并向微软报告。微软确认问题属实后,希望谷歌能将漏洞详情的公布推迟一天,因为谷歌通常会给厂商90天的时间来修复漏洞,而6月11日正好是这一期限的最后一天。微软当时表示他们正在努力开发补丁,但最终未能如期完成修复工作。因此,谷歌决定公开漏洞的详细信息。
影响范围:Windows 8及更高版本
据谷歌的安全专家介绍,该漏洞源于证书验证错误。从Windows 8开始,所有后续版本都采用了特定的加密库。攻击者能够通过构造特殊的X.509数字证书来利用这一漏洞,由于证书验证无法顺利完成,从而触发加密库中的漏洞。当漏洞被触发后,会对系统内其他程序的正常运行产生干扰,导致拒绝服务现象的发生,例如IIS、IPSec以及Exchange等常用程序可能会受到影响。总体而言,该漏洞的风险等级较低,仅会导致服务器无法正常运行服务,并不会引发数据泄露或更严重的安全隐患。
超期未修复致漏洞信息公开
正如开头所述,由于微软未能按时解决这一问题,谷歌方面已将其详细信息公之于众。截至目前,微软尚未对此事件作出任何正式回应,按照常理判断,三个月的时间应当足够处理这样一个低危级别的安全漏洞。过去,微软也曾因类似原因被谷歌公开过漏洞,当时微软给出的理由是某些漏洞的修复流程较为复杂。不知此次是否同样如此。
