日前，谷歌公司披露了另一個Windows零日漏洞，因為微軟公司尚未能修復這個漏洞，這也是這個月內第三次谷歌的Project Zero發布關于未打補丁Windows漏洞的細節。

這個最新的零日漏洞已被證實存在于Windows 7和8.1中，它影響著函數CryptProtectMemory，這可能允許進程間的內存共享和登錄會話ID提取。

根據Project Zero對該漏洞的描述，“GNG.sys中的部署在捕捉登錄會話id時不會檢查令牌的模擬水平，這樣普通用戶就可以模擬鑒定水平，并解密或加密該登錄會話的數據。”

Project Zero最早在10月17日向微軟報告了該漏洞，從這一天就開始進入谷歌90天公開披露的最后期限倒計時，谷歌稱如果在這個時間內沒有“廣泛可用的補丁”，漏洞報告將會自動發布。

根據谷歌Project Zero問題跟蹤網站的跟進文章顯示，微軟曾計劃將該漏洞的補丁作為2015年1月星期二補丁修復的一部分，但由于兼容性問題而推遲。現在這個補丁計劃將包含在2015年2月星期二補丁修復中，而谷歌對該漏洞的披露可能讓Windows用戶在那之前處于威脅之中。

雙方都需要承擔責任

谷歌因其自動披露政策而遭到抨擊，微軟稱補丁修復已經在處理中，沒必要讓用戶處于危險之中。安全供應商Veracode公司首席技術官兼首席信息安全官Chris Wysopal對這個漏洞將造成多大的威脅發出了警告。

Wysopal表示：“目前尚不清楚攻擊者將如何利用這個漏洞。對于初學者來說，這是一個本地漏洞，這沒有遠程利用漏洞那么嚴重。但它可能被用于權限提升，這意味著攻擊者可能利用該漏洞來在企業系統安裝網絡間諜或僵尸惡意軟件。”

Wysopal認為谷歌可能要重新考慮其發布零日漏洞報告的政策，并稱每個規則都會有例外情況，當對于補丁不能在截止日期前發布有著很好的解釋時，谷歌應該延遲公布報告。

“谷歌的90天披露期限很不好，他們貌似沒有考慮漏洞能否在90天內安全地修復，”安全供應商Bit9公司解決方案架構師Matt Larsen表示，“微軟不能按時修復補丁也不好，或者更糟糕的情況是，補丁存在技術問題。”

Larsen表示，雙方都需要承擔更多責任，專注于更大的利益，否則對雙方都不好，而且在這個過程中用戶還會受到傷害。