谷歌Project Zero的尋人小組在windows10 S中發(fā)現(xiàn)了一個(gè)漏洞，公開披露了這個(gè)問(wèn)題，盡管微軟希望在解決這個(gè)問(wèn)題之前保留這個(gè)漏洞。

Project Zero尋找由Google或其他公司制作的軟件漏洞，如果發(fā)現(xiàn)漏洞，團(tuán)隊(duì)通常會(huì)私下提醒軟件開發(fā)人員，并在上市前90天給予警告。

不僅發(fā)現(xiàn)這個(gè)漏洞已經(jīng)足夠讓微軟感到尷尬，而且顯然它主要影響Windows 10 S，這是一種操作系統(tǒng)版本，它被設(shè)計(jì)為比其他版本更加鎖定和安全，只允許來(lái)自Microsoft商店的應(yīng)用程序被安裝。

根據(jù)Project Zero的說(shuō)法，這個(gè)漏洞以用戶模式代碼完整性（UMCI）和Device Guard啟用的用戶為目標(biāo)--Windows 10 S默認(rèn)具有此功能。這允許運(yùn)行任意代碼，這是windows10 S專門設(shè)計(jì)的目的。

90天的窗口

因?yàn)檫@個(gè)漏洞只影響少數(shù)PC，即使黑客需要物理訪問(wèn)PC，Project Zero也認(rèn)為這是一個(gè)“中等”的安全缺陷，并且給了微軟通常的90天寬限期來(lái)解決這個(gè)問(wèn)題。公開。

然而，正如Neowin.net所報(bào)道的那樣，Google在1月19日向微軟提醒了微軟，在微軟未能在90天之后發(fā)布補(bǔ)丁之后，微軟周二趕上補(bǔ)丁，微軟要求延長(zhǎng)14天的延期。

但谷歌拒絕了，顯然微軟再次要求延長(zhǎng)截止日期，以便將其納入Redstone 4更新（也稱為Spring Creators Update）。然而，由于這一更新沒(méi)有推出新的日期，谷歌再次拒絕延期，現(xiàn)在已經(jīng)使這個(gè)漏洞公開。

這對(duì)微軟來(lái)說(shuō)有點(diǎn)令人尷尬，我們可以理解為什么它急于避免這個(gè)漏洞被公開，但希望谷歌的舉動(dòng)將迫使微軟盡快修復(fù)。