Google 再次披露 Windows 未修复漏洞

三个月内的第二次，Google 工程师披露了微软未修复的一个 Windows 漏洞。上一次微软曾公开对 Google 的做法表示失望。新 bug 与 Windows GDI (Graphics Device Interface) (gdi32.dll)相关，允许攻击者利用恶意的 EMF 文件阅读用户内存中的内容，而 EMF 文件可以隐藏在 DOCX 等类型的文件中，也是就是它可以通过 Office、IE 等流行应用程序利用。Google Project Zero 团队最初是在 2016 年 3 月报告了这一该 bug，微软在 6 月份修复了漏洞（MS16-074），但发现该 bug 的 Google 工程师Mateusz Jurczyk 指出，MS16-074 补丁不完整，部分问题仍然存在，他在 2016 年 11 月重新递交了 bug，给微软 90 天时间修复。上周 90 天的截至日期到期，而微软因为一些问题取消了二月份的例行更新，Google 随后对外公开了这一 bug。0day