谷歌团队成功黑了 Windows 记事本

2019年06月02日

据 Threatpost 报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口

该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。

这个问题的具体细节尚未透露,Travis 表示已通知微软,微软有长达 90 天的时间,在漏洞披露之前修复这个问题。

“记事本暴露的攻击面很少,但它仍足以让攻击者运行任意代码”,White Note 创始人 Dan Kaminsky 表示,我们不能因为记事本简单,就觉得它肯定很安全。

与此同时,也有知情研究人员指出,黑客在记事本中打开文件之前,需要先获取目标。而除了已经弃用的 IE 11,这种情况一般不会发生。“在今天IE 发布缓解措施后,除非坐在电脑前,否则你无法在系统上启动记事本”,Kaminsky 解释。

值得一提的是,记事本也是不少开发者常用的软件 —— 毕竟它似乎是打开未知文件最方便安全的方式。但现在看来,这种做法是否 “安全”,可能得打个问号了。

展开阅读全文
15 收藏
分享
加载中
精彩评论
应该没程序员用,但是普通用户用的还是挺多的
2019-06-02 12:26
10
举报
哈哈 发现谷歌真的贱 每次都专门排人找微软的漏洞 然后喊别人90天内修复 不然就曝光
说不定这是人家后门啊
2019-06-03 10:07
4
举报
Notepad ++不说话 记事本是谁
2019-06-02 12:16
2
举报
太好了,萎软又可以喊你升级win10了。
2019-06-02 09:55
2
举报
@MindFocus 文本编辑器 没有依赖关系吧 你这意思是 没有 notepad 就没有 notepad++了
2019-06-03 07:19
1
举报
最新评论 (11)
哈哈 发现谷歌真的贱 每次都专门排人找微软的漏洞 然后喊别人90天内修复 不然就曝光
说不定这是人家后门啊
2019-06-03 10:07
4
回复
举报
linuxer在惊讶,瘟到死是谁?
2019-06-03 07:08
0
回复
举报
应该没程序员用,但是普通用户用的还是挺多的
2019-06-02 12:26
10
回复
举报
Notepad ++不说话 记事本是谁
2019-06-02 12:16
2
回复
举报
@不吃肉夹馍 没有notepad何来notepad++
2019-06-02 17:06
0
回复
举报
@MindFocus 文本编辑器 没有依赖关系吧 你这意思是 没有 notepad 就没有 notepad++了
2019-06-03 07:19
1
回复
举报
android 没有任何漏洞
2019-06-02 12:09
0
回复
举报
弄啥来,正用着Notepad++,蹦出一个这个消息
2019-06-02 12:05
0
回复
举报
岳不群:我的都开源了,所以修复漏洞不是厂家的责任不是我。你左冷禅懒惰懈怠不思武学,限你90天修补你派武学漏洞,否则我将。。。
2019-06-02 11:52
0
回复
举报
太好了,萎软又可以喊你升级win10了。
2019-06-02 09:55
2
回复
举报
表示很少很少用notepad
2019-06-02 09:27
0
回复
举报
更多评论
11 评论
15 收藏
分享
返回顶部
顶部