据外媒报道,谷歌Project Zero团队的主要工作就是寻找自己公司以及其他公司开发产品的漏洞。当他们发现漏洞时会先私下告知对方并给予90天的解决时间。如果在这个期限到来之前仍旧没有解决则将其公布于众。不过在某些特殊的情况下比如说漏洞难以修复则可以宽限一些时间。
通过这种方式,谷歌在过去几个月内发现了好几个漏洞,最显著的则来自Windows 10和Microsoft Edge。日前这家公司又公布了一个来自Windows 10 S的“中度”安全漏洞。
Windows 10 S是一个高度安全且有点沙盒性质的操作系统,它有许多限制如只能运行Win32应用。然而,谷歌的Project Zero团队发现了一个漏洞--允许在启用UMCI的时候在系统上执行任何代码。
漏洞描述
而谷歌披露漏洞的时间线也非常有趣。谷歌最先在1月19日向微软报告了该漏洞,然而微软却没能在4月的周二补丁日到来前修复好,于是它要求获得14天的宽限。不过过了14天后微软仍没有兑现承诺并希望谷歌可以再将时间延长到5月周二补丁日,但这次谷歌拒绝了微软的请求。
此外,谷歌还告诉微软这个漏洞并不算严重所以他们可以找找其他解决办法。