谷歌 Project Zero 研究員塔維斯·奧曼迪和娜塔莉·西爾萬諾維奇，宣稱發現了一個Windows高危漏洞。漏洞細節將在90天后公布——無論是否有補丁可用。

上周末，奧曼迪在推特上宣稱，他和西爾萬諾維奇發現了近年來最糟糕的Windows遠程代碼執行漏洞。

這位安全專家并未泄露漏洞具體細節，但他闡明，他們創建的漏洞利用程序對默認Windows安裝有效，攻擊者甚至不需要與受害者處于同一局域網。同時，他還稱該攻擊是可以“蠕蟲化”的。

盡管沒有公布任何技術細節，一些業內人士仍然批評這兩位谷歌 Project Zero 研究員公開了漏洞的存在。

微軟發出了以下聲明：“Windows向客戶承諾調查報告的安全問題，盡快主動升級受影響設備。我們建議客戶使用 Windows 10 和 微軟 Edge 瀏覽器以獲得最佳防護。”

谷歌通常會給公司90天緩沖期進行漏洞修復再公開漏洞細節，但如果漏洞已經在攻擊實例中被利用，那么該最后期限就會縮短至7天。

去年11月，Project Zero 在微軟補丁逾期未放出后，公開了某影響Windows內核的零日漏洞。

今年2月，谷歌研究員伊萬·弗拉特里克公開了一段概念驗證代碼，驗證的是影響Edge和IE瀏覽器的嚴重漏洞。微軟在此后數周才修復了該漏洞。

過去幾年，谷歌遵循90天原則公開了數個Windows漏洞。2015年2月，鑒于微軟和業內其他成員的批評，這家搜索巨頭修改了公布策略，但其90天期限依然嚴格執行。