Win10漏洞仨月都沒補上！Google怒而曝光之

作為Project Zero項目的一部分，Google今天公開披露了微軟產品的又一個安全漏洞，因為90天靜默期已經過去了，微軟依然沒有解決它。

該漏洞存在於Edge瀏覽器之中，可讓攻擊者繞過ACG(Arbitrary Code Guard)保護機製，攻擊Windows 10係統。

Google安全研究員Ivan Fratric解釋說，ACG是微軟在Windows 10 Version 1703創意者更新中引入的一個安全保護機製，本意是阻止JavaScript腳本載入惡意代碼，但攻擊者可以利用特殊設計的惡意網站，誘導用戶點擊，從而發動攻擊。

Fratric稱早在2017年11月份，他們就通知了微軟這個漏洞的情況，但是微軟說問題比較複雜，需要多花點時間才能解決，預計要到3月份的月度補丁日才能推送安全更新，也就是3月13日。

這意味著，黑客有將近一個月的時間，去利用這個已公開的漏洞。

目前，避免此攻擊的唯一辦法就是避免使用Edge瀏覽器——當然，這類用戶本來也不多。