谷歌零專案剛剛揭露了 Edge 中的一個嚴重安全漏洞,而微軟尚未能夠修正它。此缺陷允許惡意者從網頁執行任意程式碼。微軟沒有時間在星期二補丁期間整合修復程序,認為有必要對瀏覽器的工作方式進行深刻的改變。建議在問題解決前不要使用 Edge。
微軟週二錯過了補丁,迫使谷歌披露了 Edge 中仍然存在的安全漏洞之一。這也相當嚴重,因為它允許惡意者透過網頁在任何執行 Windows 10 的電腦上執行任意程式碼。瀏覽器通常受到任意程式碼防護的保護,該功能需要簽名代碼才能在瀏覽器中運作。然而,即時(JIT)編譯器可以透過在新的瀏覽器進程中執行任何程式碼而不需要簽名來繞過這種保護。
然而,儘管微軟已經意識到這個漏洞90天了,但其工程師卻未能及時修復漏洞。這是因為這項任務比看起來更複雜:微軟解釋說它必須將其編譯器移植到新的沙盒環境中。足以證明“一項重要的工程任務」根據微軟的說法。但是Google零號計劃仍然忠於他的原則,因此無論如何選擇揭露缺陷。我們想像,鼓勵出版商更積極回應的方法。微軟指定:「團隊有信心[補丁]將於 3 月 13 日交付」。
那麼在這段期間該怎麼辦呢?也許最簡單的建議是避免使用 Edge,而選擇競爭性的網路瀏覽器。確實存在一個真正的風險,即惡意軟體可能會在您不知情的情況下透過瀏覽網路而安裝...