微软再次陷入了一个窘境，因未及时修复一个漏洞，反被谷歌抢先公布了该漏洞的exp。谷歌的Project Zero再次在微软未修复漏洞之前，公布了漏洞的存在，并且还公布了漏洞的exp。

几个月以前，搜索引擎巨头谷歌向公众披露了一个非常严重的Windows漏洞。公开披露漏洞本身并不具有任何问题，但是问题在于谷歌是在微软未修复漏洞之前公开披露的，一时间舆论纷然，有人说是谷歌的行为过激，没有超过90天的公布期限就公布别人的漏洞是不善良的行为。

但是这次的情况完全不一样，谷歌提前已经将这个漏洞提交给了微软，并且时间也已经超过了90天，遗憾的是，微软并没有修复，所以谷歌按照自己的漏洞披露流程公布了这枚漏洞及其exp。

漏洞详情

谷歌Project Zero小组成员Mateusz Jurczyk详细描述了该漏洞，它存在于Windows的图形设备接口（GDI）库中，影响所有基于该库的项目。如果被攻击者成功利用，可能会导致内存中的敏感信息泄露。从Windows Vista Service Pack 2 到最新版本的Windows 10均受该漏洞的影响。

等了半年，微软迟迟不肯修复

Project Zero于2016年6月9日向微软提交了该漏洞，但是90天已经过去了，微软只是修复了GDI中的部分安全问题，并不是所有问题，所以谷歌Project Zero小组不得不再次向微软报告了这一问题，并且还提供了一个POC，再次提交漏洞的时间是11月16日。

时至今日，3个月又过去了，微软还是没有修复GDI库中的问题。于是谷歌决定向公众（包括黑客和恶意攻击者）披露，告诉大家微软的GDI上存在安全问题。

也许披露该漏洞对普通大众不会造成什么严重影响，但是，对黑客却大有用处，他们可以利用该漏洞访问受害者设备，窃取其中的敏感信息。

微软方面的应急

微软已经决定推迟本月的补丁更新时间，原因可能是，他们正在紧急修复该漏洞。