Google公布涉及IE與Edge的微軟漏洞

Google旗下的網路抓蟲小組Project Zero（Zero專案）上周再公布了一個涉及微軟IE及Edge等瀏覽器的安全漏洞，雖然微軟尚未修補該漏洞，但因時間點已到了Zero專案通知供應商後的90天期限，因此又被自動揭露。

此一編號為CVE-2017-0037的漏洞是在HandleColumnBreakOnColumnSpanningElement中所出現的類型混淆漏洞（Type confusion），Project Zero團隊所釋出的概念性驗證程式可導致瀏覽器當掉，但該漏洞也可能造成遠端程式攻擊或接管裝置。

Project Zero團隊表示，雖然他們是在64位元的IE上測試該漏洞的攻擊行動，但Edge與32位元的IE應該也會有同樣的結果。

Project Zero一周前也曾公布幾個微軟尚未修補的Windows漏洞，原因也是超過了90天的通知期限，外界揣測微軟很可能原本打算要在2月14日的例行性更新中修補這些漏洞，沒料到會延後修補，才造成這些漏洞在未修補前便曝光。