搜尋巨擎Google公司發現，Windows視窗作業系統中，因Flash的漏洞而衍生了一個視窗系統漏洞，此漏洞可讓惡意程式可以在設定應用程式視窗樣式時，繞過安全沙盒防護。Google雖在10月21日通報微軟，微軟也預定做出更新，但Google卻提前公開這項消息，讓微軟相當不滿。


▲微軟對於Google提前釋放漏洞的消息不滿(圖片來源:網路)

 

微軟指出該漏洞被認定為「臨危」等級，主要是因為俄羅斯駭客集團 Strontium 已經開始透過該漏洞進行攻擊，因此微軟將會在11月8日釋出安全性更新檔，解決這項Windows系統的安全問題。沒想到，Google卻因為等不及，逕自在通報後10天主動披露了這項消息。

 

《iThome》報導指出，這項漏洞存在於Windows核心的本機權限升級漏洞。只要透過設定程式畫面視窗屬性的win32k.sys系統函式呼叫NtSetWindowLongPtr()，將視窗樣式參數GWL_STYLE的數值設為WS_CHILD（子視窗樣式）時，要取得子視窗ID時，就會一併觸發這個漏洞。

 

由於這項漏洞是源於Adobe Flash的漏洞所衍生，因此如果已經更新了Flash，這項安全風險也會降低。另外微軟也指出，Windows Defender ATP 技術可以協助企業用戶偵測並防禦攻擊；同時聲稱，若使用Edge瀏覽器也不用擔心遭到攻擊。

 

Google也表示，已經為Chrome用戶修復了這個漏洞，不過由於Google提前在微軟發表更新之前，發布這項漏洞的消息，違反了安全業界通報修補的90天期限的默契，微軟因此深感不滿，還表示「Google 此舉無疑是讓用戶身處風險中」。

 

無論如何，在11月8日之前，用戶可以先透過對Flash的升級，降低這項漏洞所能帶來的損害。