Google Project Zero安全团队去年11月发现一可绕过Microsoft Edge ACG漏洞，让攻击者透过Microsoft Edge将未获签章的恶意代码加载Windows电脑。尽管已通报微软，但微软尚未完成修补，本周末以超出期限为由公布漏洞信息。

Google Project Zero本周末又以超出期限为由公布微软尚未修补完成Microsoft Edge中一个可能导致恶意网页下载到Windows PC的安全功能漏洞。

这项漏洞位于Microsoft Edge中的任意程序代码防护（Arbitrary Code Guard, ACG），它是微软于2017年4月的Windows 10 Creators Update加入Microsoft Edge浏览器的两项安全功能之一：ACG结合另一项功能Code Integrity Guard（CIG）可防止JavaScript将恶意代码透过浏览器加载Windows内存执行，唯有获得签章的网页才能执行。

Google Project 安全研究员Ivan Fratric去年11月发现一项可绕过ACG的漏洞，可让攻击者透过Microsoft Edge将未获签章的恶意代码加载Windows计算机。他随后将此漏洞通报微软。

按照Project Zero的惯例，漏洞通报后软件业者有90天可以修补。本月15日微软回复修补工作复杂度超出预期，微软可能无法在2月安全更新这个内存管理问题，但有信心可以在3月13日完成。

不过Fratric以已经超过90天修补期，以及配合微软周二更新而多宽限的14天期间为由，公布了这项漏洞。

这已是Google近年自2015年及2017年初后，第三次在微软修补完成产品漏洞前公诸于世。前两次都引发微软对Google的批评，并曾经于去年10月以牙还牙，公布Google Chrome的漏洞，还藉此拿到Google抓漏奖金。

更多文章请往：纵横体育全能家 http://tpgym.com.tw/