外媒：微软已修复Edge浏览器漏洞 苹果行动迟缓

北京时间9月12日早间消息，据美国科技媒体The Register报道，安全研究人员发现Edge和Safari浏览器存在漏洞，恶意者可以利用漏洞发起攻击，在不改变地址的情况下改变网页内容。

安全研究人员拉菲·巴罗奇(Rafay Baloch)指出，微软已经用补丁修复漏洞，不过苹果行动迟缓，所以目前Safari仍然不安全。

通过漏洞，攻击者可以加载合法页面，让网页地址在地址栏显示，然后快速将页面内的代码转换为恶意代码，地址栏中的URL地址无需改变。这样一来，攻击者可以创建虚假登录屏幕或者其它表格，收集用户名、密码及其它数据，用户很难区分真假，他们会认为自己登录的页面是真实的。

巴罗奇说：“不同的浏览器处理导航的手法并不一样，当页面正在加载时，Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次，这样就可以解决问题了。”

微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告，至今还没有修复。按照惯例有90天的时间窗口，巴罗奇说他会披露漏洞，但是在苹果发布补丁之前不会公开代码。

相关阅读：微软正在防备Windows 7成为下一个XP

去年的WannaCry大规模爆发已经给微软留下了大面积心理阴影，为此它一直就说服商业用户从老系统往新系统升级的问题上想尽办法，今天他们公开了一个新的举措，为Windows 7设定了商业用户的更新支持期限。

在微软更改了支持策略之后，针对商用Windows 7的支持期限被延长三年至2023年1月，但是代价不小——每延长一年更新支持服务，商用用户就要多支付一笔可观的维护费用，而且价格逐年攀升。

如果对比一下微软对Windows XP的支持(2001~2014)，就会发现Windows 7的生命周期显然被缩短了(2009~2020)，不过在当前Windows 10的这个运作模式下，微软确实需要收回那些在过往旧版本上分散的人力和资源，继续提高Windows 10的更新质量。

减少安全风险，顺便还能提升一波Windows 10的占有率，微软这个算盘是打得很好的，但严重怀疑在微软目前的盈利模式下Windows 10的销量收入会有多大影响，除非中国的网吧集体升级正版Win10——