谷歌零项目刚刚揭露了 Edge 中的一个严重安全漏洞,而微软尚未能够纠正它。该缺陷允许恶意者从网页执行任意代码。微软没有时间在星期二补丁期间集成修复程序,认为有必要对浏览器的工作方式进行深刻的改变。建议在问题解决之前不要使用 Edge。
微软周二错过了补丁,迫使谷歌披露了 Edge 中仍然存在的安全漏洞之一。这也相当严重,因为它允许恶意者通过网页在任何运行 Windows 10 的计算机上执行任意代码。浏览器通常受到任意代码防护的保护,该功能需要签名代码才能在浏览器中运行。然而,即时(JIT)编译器可以通过在新的浏览器进程中执行任何代码而不需要签名来绕过这种保护。
然而,尽管微软已经意识到这个漏洞90天了,但其工程师却未能及时修复该漏洞。这是因为这项任务比看起来更复杂:微软解释说它必须将其编译器移植到新的沙盒环境中。足以证明“一项重要的工程任务”根据微软的说法。但是谷歌零号计划仍然忠于他的原则,因此无论如何选择揭露缺陷。我们想象,鼓励出版商更加积极响应的一种方法。微软指定:“团队有信心[补丁]将于 3 月 13 日交付”。
那么在此期间该怎么办呢?也许最简单的建议是避免使用 Edge,而选择竞争性的互联网浏览器。确实存在一个真正的风险,即恶意软件可能会在您不知情的情况下通过浏览互联网而被安装......
