微软上周二释出的例行安全更新修复了一个编号为 CVE-2020-1464 的漏洞，微软称该漏洞允许攻击者绕过安全功能加载没有正确签名的文件。微软没有提到哪位安全研究人员向它报告了该漏洞，只是表示该漏洞正被利用。微软这么做可能是因为它最早被利用的时间是在 2018 年 8 月，过去 18 个月有多名安全研究人员向微软报告了该漏洞，它的安全团队验证了漏洞但一直没有给出修复时间。也就是说，软件巨人用了两年时间去修复一个 0day 漏洞。利用该漏洞很简单，只要给一个已被信任软件开发商签名的 MSI 文件添加一个恶意 JAR 文件，用 .jar 扩展名重命名文件，那么 Microsoft Windows 就会将其识别为是一个有效签名的文件。微软没有回答它为什么花了这么长时间修复签名漏洞。