微軟未按時修複中度Windows 10 S漏洞，穀歌將其公布

4月20日消息 日前穀歌Project Zero團隊公布了微軟的Windows 10 S操作係統的一個“中度”安全漏洞。值得一提的是，該團隊在今年一月就已經向微軟報告了該漏洞，但是直到今年4月的補丁發布日，微軟也並未能完成修複。

Windows 10 S是一款由微軟開發的沙盒操作係統，具有如無法運行Win32應用等限製。通過此次發現的漏洞，攻擊者可以在啟用了UMCI（包括Windows 10上默認啟用的設備保護Device Guard）的係統上執行任意代碼。

不過需要注意的是，該漏洞隻影響啟用了Device Guard的Windows 10 S係統，且無法被遠程執行。為了能夠修改相應的注冊表項，攻擊者需要先在本地係統上執行代碼，這讓這一問題顯得不是那麼嚴重。穀歌認為，Edge瀏覽器中的遠程代碼執行（RCE）仍是一個風險，若這一問題得到修複，該漏洞就不會顯得那麼嚴重了。

穀歌最早在1月19日就向微軟報告了這個漏洞，標準的90天截止日期過後，微軟仍未修複它。微軟要求進行為期14天的延期，表示將在5月補丁中推出漏洞修複補丁。但該日期已經超出了寬限期，穀歌拒絕了這一請求。

由於這一漏洞主要影響Windows 10 S係統，不過我們也可稍稍坐穩放寬。預計在5月8日的星期二補丁發布日，微軟就會推出相應的補丁。