Microsoft发出关键修补程序,但不是零天
Microsoft在其浏览器中为“关键”漏洞发出安全更新,但即使已公开可用的代码,也留下了至少两个零天漏洞。
一周晚于计划,Microsoft通过Windows Update通过修补程序发布,以修复Windows 8.1及更高版本的Internet Explorer的Adobe Flash中的漏洞,以及Windows 10的边沿。
但是更新没有包括有关公开披露的漏洞利用代码的两种漏洞的修复,而微软向客户终止在2017年3月14日之前预期任何安全更新。
第一个零天利用Windows Server消息块(SMB)缺陷。概念探索代码仅在微软预定的2月软件更新之前发布。
第二个零日利用Windows图形库漏洞,谷歌的项目零队零队于2017年2月14日公开。
谷歌在微软发布了补丁之前,谷歌从一些季度出发了公众,但谷歌声称曾披露过六个月前六个月。
微软通过在2016年6月(MS16-074)发出补丁(MS16-074)回复,但谷歌的项目零队在2016年11月开始剥离缺陷并根据其在90天内披露漏洞的政策,发布了概念守则证明的其他方法向供应商报告它们。
独立的安全顾问Graham Cluley表示,谷歌在其他公司软件中发现可能从未修补过的缺陷是好的。“当用户无法推出修补程序以防止它们时,我更少地让它发挥着集中的粉丝,”他在博客帖子中写道。
尚不清楚是什么导致Microsoft每月安全更新中的第一次延迟。该公司拒绝评论其关于该问题的初始声明:
“我们的首要任务是为客户维护和保护系统提供最佳体验。本月,我们发现了一个可能影响一些客户的最后一刻问题,并没有及时解决我们今天计划的更新。
“在考虑到所有选项后,我们决定延迟本月的更新。对于由现有计划的这种变更造成的任何不便,我们深表歉意。“
然而,根据ZdNet的Mary Jo Foley,消息人士称,微软的构建系统的问题可能是延迟的原因。...............
