#安全资讯 谷歌安全团队再次公布微软未完全修复的 Windows 11 本地权限提升漏洞，不过这个漏洞影响范围很小，仅影响测试版中的部分用户。漏洞在 8 月通报给微软，微软在 11 月修复但修复地不够彻底，谷歌再次联系微软通报但没获得回应，于是直接公开了漏洞。查看全文：https://ourl.co/111379

谷歌旗下安全团队此前因为公布微软未修复的安全漏洞曾被微软专门发文喷过，不过即便被喷谷歌也依然维持 90 天的漏洞公布周期，谷歌认为这可以敦促相关企业尽可能早地修复安全漏洞。

现在谷歌再次公布 1 个微软没有完成彻底修复的安全漏洞，Google Project Zero 团队最初在 8 月份发现这个漏洞，随后在 8 月 8 日向微软通报漏洞并获得确认，谷歌给微软 90 天时间进行修复。

漏洞到期时间是 11 月 6 日，不过微软当月补丁发布时间是 11 月 12 日，所以微软找谷歌延迟几天等待补丁按照周期发布，这时候谷歌也同意了，因此漏洞披露时间是 11 月 12 日。

在微软修复漏洞后研究人员进行分析发现微软修复的不够彻底并且漏洞仍然可以利用，借助漏洞攻击者可以利用低权限进程劫持用户界面访问进程进而获得管理员权限。

发现问题后研究人员再次联系微软但这次不知道为什么微软保持沉默并没有进行回应，因此研究人员直接公布了漏洞细节，对 Windows 而言漏洞在未修复的情况下被披露已经属于零日漏洞的范畴。

不过这个漏洞属于本地权限提升类别，因此攻击者必须实际接触到 PC 才能利用漏洞，所以潜在危害可能不是那么大。另外此漏洞属于 Windows 11 Insider 预览版中的，相关功能还需要手动启用，所以受影响的用户群也非常小。

漏洞详情：https://project-zero.issues.chromium.org/issues/437291456