多年前谷歌旗下安全實(shí)驗(yàn)室披露過微軟還為修復(fù)的安全漏洞，按谷歌規(guī)定漏洞細(xì)節(jié)會在漏洞提交的三個月后公開。

不論開發(fā)商是否在三個月內(nèi)修復(fù)都會公開漏洞，結(jié)果微軟兩次沒有及時修復(fù)導(dǎo)致潛在威脅，微軟抨擊谷歌是作惡。

但有時候有些漏洞微軟不愿意去修復(fù)，此前微軟遠(yuǎn)程桌面服務(wù)就被發(fā)現(xiàn)漏洞，微軟稱其為新增功能因此拒絕修復(fù)。

現(xiàn)在再次有研究人員披露Windows 10存在某個低危安全漏洞，但微軟表示這就是設(shè)計特性因此還是拒絕去修復(fù)。

主題功能中的安全漏洞：

日前有研究人員披露其在Windows 10主題功能里發(fā)現(xiàn)安全漏洞，微軟允許用戶制作和分享主題供其他人安裝等。

Windows 10主題本質(zhì)上就是一堆壁紙加上描述文件，但研究人員發(fā)現(xiàn)該功能存在漏洞可以被攻擊者竊取憑據(jù)等。

其原理是攻擊者自己制作個主題文件但里面夾雜惡意代碼，然后將這個主題文件公開分享給別人誘導(dǎo)受害者安裝。

當(dāng)受害者安裝該主題時會彈出NTLM身份驗(yàn)證對話框，也就是彈出Windows 10系統(tǒng)級的輸入和賬號密碼對話框。

用戶看到彈窗可能會認(rèn)為是安裝主題需要輸入賬號密碼，如果真的輸入賬號密碼則加密后的哈希憑證會自動上傳。

攻擊者可以使用某些解密工具來解密被系統(tǒng)自動加密的哈希憑證，這樣就可以獲得受害者賬號和密碼的明文內(nèi)容。

微軟表示這是設(shè)計特性拒絕修復(fù)：

研究人員將該漏洞信息提交到微軟安全響應(yīng)中心，不過微軟給出的回復(fù)是這是設(shè)計特性因此并沒有修復(fù)這枚漏洞。

于是研究人員現(xiàn)在將漏洞的相關(guān)信息披露出來希望給微軟施壓，不過目前尚不清楚微軟是否會在后續(xù)解決該漏洞。

考慮到多數(shù)用戶使用Windows 10都會注冊微軟賬號而非離線賬號，因此這枚漏洞還是非常容易竊取用戶信息的。

如果用戶使用的是本地賬號非微軟賬號那安全風(fēng)險倒是會降低，畢竟本地賬號并不能登錄微軟提供的各種服務(wù)等。

另外建議所有使用微軟賬號的個人和企業(yè)級用戶配置兩步驗(yàn)證，這樣即便賬號密碼泄露后攻擊者也無法登錄賬號。