Google再公布兩個逾時未補的Windows零時差漏洞

即使Google的Project Zero安全團隊在去年底公布的Windows 8.1 Update漏洞引起外界及微軟的批評，但Google緊接著又透過自動公開揭露機制公布了兩個與Windows作業系統有關的零時差漏洞。

這兩個漏洞都是由Google所發現並在去年的10月17日提報給微軟，Google漏洞揭露系統在經過預設的90天後於1月15日自動公布了漏洞細節與概念性攻擊程式。

其中一個漏洞比較經微，僅影響Windows 7。根據說明，Windows 7的NtPowerInformation可在使用者執行作業系統的重大功能時利用SeTokenIsAdmin確認使用者的管理員身份。然而，SeTokenIsAdmin無法正確檢驗權杖的模擬級別，而使得一般用戶能夠模擬管理員，得以呼叫應受到保護的各種功能。不論是微軟或Google都覺得這不是個太嚴重的安全漏洞。

至於另一個漏洞則同時影響Windows 7與Windows 8.1 Update，相較之下比較危急，可能讓駭客藉以模擬使用者權限並加密或解密Windows內的資料。

根據Project Zero團隊成員的說法，微軟原本要在今年1月修補第二個漏洞，但因相容性問題而取消，修補程式可望在2月出爐。

雖然微軟尚未針對此事作出回應，但可想而知的是微軟勢必不會支持Google的作法。上次微軟安全回應中心資深總監Chris Betz即公開抨擊Google不應只是為了遵循90天的漏洞公開政策而棄使用者的安全於不顧。（編譯/陳曉莉）