谷歌公布Win10逾期未修复的安全漏洞

谷歌旗下安全团队日前再次公布Windows 10未修复的安全漏洞 ,  这个漏洞可导致服务器出现拒绝服务问题。原本这个漏洞在三个月前就被发现并通报给微软，微软确认问题后要求谷歌延长一天再公布这枚漏洞的细节。原因是谷歌给厂商的修复时间只有整整90天 , 而6月11日恰巧超过90天所以谷歌同意延长一天等微软发补丁。但是后来微软又通知谷歌暂时无法修复这个漏洞，所以现在也超过原定的时间，谷歌当前已经公布漏洞细节。

影响Windows 8及以上所有版本：

据谷歌旗下的安全专家透露该漏洞主要是证书校验错误导致的， Windows 8 及以上版本均使用某个加密库。攻击者可以制作特定的 X.509 数字证书来利用这枚漏洞 , 由于证书无法顺利完成校验因此会触发加密库漏洞。触发漏洞后主要影响系统其他程序的正常运行导致拒绝服务，常见受影响程序如 IIS、IPSec和Exchange 等。相对来说这枚漏洞的危害程度较低主要会让服务器无法正常提供服务，并不会造成数据泄露或其他安全风险。

超期未修复导致漏洞公开：

如文章开头所说由于微软并未按约定时间修复漏洞，所以现在这枚安全漏洞的所有细节已经在谷歌那边公开。目前微软并未就此事发布说明解释为什么无法正常修复，按理说三个月的时间修复低危安全漏洞应该也足够。微软此前被谷歌公开漏洞时曾解释过有些漏洞的修复过程比较复杂，不知道这次漏洞是不是修复也比较复杂。