第三方安全公司比微軟急：發布非官方Win10漏洞補丁下載

3月7日消息 前不久，穀歌公布了兩個微軟Windows係統“零日”漏洞，涉及Win7/Win8.1/Win10，這兩個漏洞本來應該在二月補丁日修複。然而微軟稱在推送補丁前一分鍾發現了問題，結果無限期推遲更新發布，導致這些安全隱患依然存在。

不過有些事情就是皇上不急……有人急。一家名為ACROS的安全公司自製了一個安全補丁，可以修複CVE-2017-0038漏洞，該漏洞是上述穀歌公布的漏洞之一。CVE-2017-0038是EMF圖像（示例.emf圖片下載）解析邏輯中的錯誤，它不能充分檢查圖像文件中指定的圖像尺寸與文件提供的像素數量之間的關係。如果圖像尺寸足夠大，則解析器就會被欺騙，以讀取超過內存映射的EMF文件解析的內存中的內容。攻擊者可以利用此漏洞來竊取應用程序在內存中保存的敏感數據，或者在ASLR保護失敗時作為其他漏洞的輔助。

這款第三方補丁可適用於64位Windows 8.1/Windows10係統，以及32位和64位的Windows7係統，用戶可以將其作為臨時修複方案。但鑒於這並非微軟官方作品，可靠性和穩定性都無從考量，因此用戶們還需謹慎對待。

補丁下載（2.3MB）：