近日，据外媒报道，Google Project Zero的安全研究人员在Microsoft Windows操作系统中发现了一个高危等级的且未修补的远程代码执行（RCE）漏洞。

Tavis Ormandy于上周末宣布，他和另一位Project Zero的研究人员Natalie Silvanovich在Windows中发现了“近段时间里最糟糕的远程代码执行漏洞（RCE）”，该漏洞级别很高，相关报告暂未发布。

Ormandy暂未提供关于Windows远程代码执行漏洞的任何进一步技术细节信息，因为Google向所有的软件供应商提供90天的安全披露截止日期，给予软件供应商时间进行漏洞修复工作，90天后再将漏洞细节向公众披露。这就意味着，即使Microsoft无法在90天内修复该安全漏洞，两位研究人员也将按照Google Project Zero的相关政策，向公众公布关于Windows远程代码执行漏洞的技术细节。

不过，Ormandy后来还是透露了关于Windows远程代码执行漏洞的一些细节，具体如下：

他们声称发现的漏洞可以实现静默安装（即安装时无需任何用户干预，直接按默认设置安装）； 
攻击者们不需要与受害者处于同一个局域网（LAN）中，这意味着易受攻击的Windows计算机可以被黑客远程入侵；
该威胁是“wormable（蠕虫化的）”，能够传播自己。

尽管没有发布任何关于该漏洞的技术细节，但是一些为企业效力的IT专家批评了Google Project Zero研究人员对外宣布该漏洞存在的行为，而Twitter的信息安全社区则对Google公布漏洞的行为表示赞赏。

对此，Project Zero研究人员Natalie Silvanovich表示，

如果一篇披露漏洞的推文就能引起一些企业的恐慌或混乱，我想问题不在推文本身，问题是您的企业。

这已经不是Google安全研究人员在Microsoft产品中发现的第一个安全漏洞。Google安全研究人员最近一次在Microsoft上发现漏洞是在今年二月份，当时Google研究人员披露了影响Microsoft Edge和Internet Explorer浏览器的未修补漏洞的细节。Microsoft公布了下一个“补丁周二（Patch Tuesday）”的一部分修复，但Microsoft批评Google公开发布了有关漏洞的所有细节，致使数百万Windows用户面临被黑客入侵的风险。

更新信息

本周二（5月9日），微软在最新发布的“补丁周二”中及时修复了这一安全漏洞。微软表示，

本次更新程序解决了恶意软件保护引擎在扫描某一特制文件时，允许远程代码执行的一个漏洞。该漏洞允许攻击者成功地在本地系统账户上执行任意代码，并接管系统的控制权。

Ormandy对微软紧急修复补丁的速度表示赞赏，他表示:

微软安全快速的应急响应速度让人钦佩，这种第一时间保护用户权益的做法值得赞赏！

微软表示，目前还没有该漏洞被实际应用到攻击中的案例出现，系统管理员和相关用户需要立即采取行动，升级存在安全漏洞的版本，防止攻击者趁虚而入。