谷歌 Project Zero 研究员塔维斯·奥曼迪和娜塔莉·西尔万诺维奇，宣称发现了一个Windows高危漏洞。漏洞细节将在90天后公布——无论是否有补丁可用。
 

　　上周末，奥曼迪在推特上宣称，他和西尔万诺维奇发现了近年来最糟糕的Windows远程代码执行漏洞。

　　这位安全专家并未泄露漏洞具体细节，但他阐明，他们创建的漏洞利用程序对默认Windows安装有效，攻击者甚至不需要与受害者处于同一局域网。同时，他还称该攻击是可以“蠕虫化”的。

　　尽管没有公布任何技术细节，一些业内人士仍然批评这两位谷歌 Project Zero 研究员公开了漏洞的存在。

　　如果一条推文就引发了你公司里的恐慌或混乱，问题就不在于那条推文，而在于你的公司。

　　——娜塔莉·西尔万诺维奇 2017年5月6日

　　微软发出了以下声明：“Windows向客户承诺调查报告的安全问题，尽快主动升级受影响设备。我们建议客户使用 Windows 10 和 微软 Edge 浏览器以获得最佳防护。”

　　谷歌通常会给公司90天缓冲期进行漏洞修复再公开漏洞细节，但如果漏洞已经在攻击实例中被利用，那么该最后期限就会缩短至7天。

　　去年11月，Project Zero 在微软补丁逾期未放出后，公开了某影响Windows内核的零日漏洞。

　　今年2月，谷歌研究员伊万·弗拉特里克公开了一段概念验证代码，验证的是影响Edge和IE浏览器的严重漏洞。微软在此后数周才修复了该漏洞。

　　过去几年，谷歌遵循90天原则公开了数个Windows漏洞。2015年2月，鉴于微软和业内其他成员的批评，这家搜索巨头修改了公布策略，但其90天期限依然严格执行。

(责任编辑：宋编辑)