谷歌超级黑客团队“Project Zero”发现Windows 最新远程代码执行漏洞：极其糟糕！

雷锋网消息，众所周知，谷歌内部有一个超级黑客团队——“Project Zero”，据securityaffairs 5月8日报道，谷歌 ProjectZero 的研究员在微软Windows OS 中发现了一个远程代码执行漏洞（RCE），但是这并非简单的 RCE，他们把它定性为“近期最糟糕的Windows RCE”。

上周末，ProjectZero 的研究员TavisOrmandy 和 NatalieSilvanovich 在社交网站上公布了这一发现，不过，他们却没有透露太多的细节。

【TavisOrmandy的社交网站截图】

“我认为，我和@natashenka 刚发现了Windows 的远程执行代码漏洞，这个漏洞太可怕了，报告在路上。”

“攻击者们不需要处于同一个局域网中就可以静默安装，这简直是一个虫洞。”

不过，他们并没有公布该漏洞的细节。雷锋网了解到，Project Zero 是谷歌的互联网安全项目，该团队主要由谷歌内部顶尖安全工程师组成，致力于发现、跟踪和修补全球性的软件安全漏洞，按照谷歌的规定，他们在公布漏洞前， 首先通报软件厂商并给他们90天的时间发布和修复补丁，然后才会将漏洞细节公之于众。

不过上述专家也发布了这些可供参考的信息：

Project Zero 团队已经根据 POC 对 Windows 默认安装进行研究。

Windows 该 RCE 漏洞可能被远程攻击者利用。

攻击是“蠕虫式”，可以自我传播。

如果你想看到漏洞详情，可能要再等 90 天。不过，谷歌的这个“90”天政策一直被安全研究者诟病，尤其是微软，颇有微言。比如，2015年，微软公开对谷歌公布其 windows8.1 系统漏洞的行为抱怨，因为微软原定于几天后就发布漏洞的补丁。但是，谷歌的专家向来不管他们的意见。

你看，NatalieSilvanovich 在社交网站上就很明显地“怼”上来了：如果一个推文能引起一个组织的恐慌或者困惑，那么问题不出在推文上，而是你家组织上。

今年2月，谷歌的研究人员披露了 Edge 和Internet Explorer 浏览器中未修补漏洞的细节。

据雷锋网了解，目前，微软方面还未对此回应。不过，考虑到微软的“补丁星期二”（美国时间）即将到来，微软或许会发布相关补丁。

雷锋网版权文章，未经授权禁止转载。

（编辑：ASP站长网）