微軟在上周發(fā)布的本月補丁星期二更新中修復了許多錯誤。盡管它包裝了各種版本的Windows的大量修復程序，但確實(shí)引起了對Google報告給它的安全漏洞的處理的批評。

但是，似乎這家雷德蒙德巨人的安全問(wèn)題尚未解決，因為一份新報告稱(chēng)該公司剛剛修復了Windows零日漏洞，該漏洞已在2018年報告給它。

上周，Microsoft修復了各種Windows版本中的一個(gè)安全漏洞，該漏洞主要用于處理操作系統對文件簽名的不正確處理。在CVE-2020-1464中，該公司指出：

Windows錯誤地驗證文件簽名時(shí)，存在一個(gè)欺騙漏洞。成功利用此漏洞的攻擊者可以繞過(guò)安全功能并加載未正確簽名的文件。在攻擊情形中，攻擊者可能會(huì )繞過(guò)旨在防止加載簽名錯誤的文件的安全功能。

此更新通過(guò)更正Windows驗證文件簽名的方式來(lái)解決漏洞。

安全研究員Tal Be'ery 在Medium上的博客文章中解釋說(shuō)，VirusTotal(由Google擁有的服務(wù))的經(jīng)理Bernardo Quintero最早在2018年8月發(fā)現了該漏洞。這種漏洞在內部被稱(chēng)為“ GlueBall”，立刻向微軟報告，調查結果由Quintero于2019年1月發(fā)表。Microsoft確認了此問(wèn)題，并在支持工具中添加了緩解措施，但表示不會(huì )在操作系統本身中解決此問(wèn)題。該決定背后的理由并不公開(kāi)。

此后，其他人發(fā)表了幾篇博客文章，解釋了如何使用GlueBall來(lái)利用Windows。然后在2020年6月，著(zhù)名的社交媒體帳戶(hù)再次突顯了GlueBall。

大約在這個(gè)時(shí)候前后，微軟似乎開(kāi)始認真對待此問(wèn)題，并且終于在本月的補丁星期二發(fā)布了針對巨大安全漏洞的適當修復程序。根據Microsoft的安全公告，此缺陷存在于Windows 7、8、8.1，RT 8.1，Server 2008、2012、2016、2019和Windows 10中，一直到2004年版本，并且被許多人利用。操作系統版本。

在對KrebsonSecurity的模糊聲明中，Microsoft指出：

八月發(fā)布了安全更新。應用更新或啟用自動(dòng)更新的客戶(hù)將受到保護。我們繼續鼓勵客戶(hù)打開(kāi)自動(dòng)更新以幫助確保其受到保護。

至少可以說(shuō)，從微軟的角度來(lái)處理此事件是非常奇怪的。有人想知道為什么微軟將修復Windows安全漏洞的時(shí)間推遲了近兩年，尤其是當該操作系統幾乎所有主要版本中都存在該漏洞時(shí)。