4月20日消息 日前谷歌Project Zero團(tuán)隊(duì)公布了微軟的Windows 10 S操作系統(tǒng)的一個(gè)“中度”安全漏洞。值得一提的是，該團(tuán)隊(duì)在今年一月就已經(jīng)向微軟報(bào)告了該漏洞，但是直到今年4月的補(bǔ)丁發(fā)布日，微軟也并未能完成修復(fù)。

Windows 10 S是一款由微軟開(kāi)發(fā)的沙盒操作系統(tǒng)，具有如無(wú)法運(yùn)行Win32應(yīng)用等限制。通過(guò)此次發(fā)現(xiàn)的漏洞，攻擊者可以在啟用了UMCI（包括Windows 10上默認(rèn)啟用的設(shè)備保護(hù)Device Guard）的系統(tǒng)上執(zhí)行任意代碼。

不過(guò)需要注意的是，該漏洞只影響啟用了Device Guard的Windows 10 S系統(tǒng)，且無(wú)法被遠(yuǎn)程執(zhí)行。為了能夠修改相應(yīng)的注冊(cè)表項(xiàng)，攻擊者需要先在本地系統(tǒng)上執(zhí)行代碼，這讓這一問(wèn)題顯得不是那么嚴(yán)重。谷歌認(rèn)為，Edge瀏覽器中的遠(yuǎn)程代碼執(zhí)行（RCE）仍是一個(gè)風(fēng)險(xiǎn)，若這一問(wèn)題得到修復(fù)，該漏洞就不會(huì)顯得那么嚴(yán)重了。

谷歌最早在1月19日就向微軟報(bào)告了這個(gè)漏洞，標(biāo)準(zhǔn)的90天截止日期過(guò)后，微軟仍未修復(fù)它。微軟要求進(jìn)行為期14天的延期，表示將在5月補(bǔ)丁中推出漏洞修復(fù)補(bǔ)丁。但該日期已經(jīng)超出了寬限期，谷歌拒絕了這一請(qǐng)求。

由于這一漏洞主要影響Windows 10 S系統(tǒng)，不過(guò)我們也可稍稍坐穩(wěn)放寬。預(yù)計(jì)在5月8日的星期二補(bǔ)丁發(fā)布日，微軟就會(huì)推出相應(yīng)的補(bǔ)丁。