Google 的 Project Zero 团队成功黑掉 Windows 记事本
简单如 Windows Notepad(记事本)这样的软件也会出现严重的漏洞,Google 的 Project Zero 安全研究团队已经成功黑掉了这一每个人都在用的应用程序,并且危险系数还挺高:可以拿到完整的远程 Shell 访问权限。
来自 Google 的 Project Zero 的 Tavis Ormandy 设法在记事本中找到了内存损坏漏洞,该漏洞允许特殊格式错误的文件将应用程序破坏,并可以调用命令提示符应用提供远程shell访问,这意味着黑客可能完全接管系统。
该错误的确切细节尚未透露,Travis 已通知微软解决问题,通常在披露这个漏洞细节前,会给90天的时间。
“我只能说这是一个严重的安全漏洞,我们已经给微软提供了长达90天的时间来处理它(就像我们报告的所有漏洞一样),这就是我可以分享的一切。“他在周五的推文对话中写道。
White Note 的首席科学家兼创始人丹·卡明斯基说:“记事本暴露的攻击面很少,值得注意的是它仍足以让攻击者能够运行任意代码。” “所以说,再简单的程序如果编写不当也会出现巨大问题。”
然而也有知情的研究人员表示,黑客需要首先获得目标才能在记事本中打开文件,除了已弃用的 IE11 作为入口之外,默认情况下不太可能发生这种情况。“除非你坐在电脑前,否则无法在系统上启动记事本。”卡明斯基说。
然而,我们注意到大多数开发人员计算机中最常用的应用程序通常都是记事本,主要是因为它似乎是打开未知文件最安全的方式,但似乎这种日子可以告一段落了。
(稿源:cnBeta,封面源自 *** 。)
“Google 的 Project Zero 团队成功黑掉 Windows 记事本” 的相关文章
Cloudflare 成功阻止针对其客户最大规模的 HTTPS DDoS 攻击
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...
SentinelLabs 敦促 Azure Defender for IoT 用户尽快安装补丁
SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用...
黑客组织 Lapsus$ 发起投票:根据结果公开公司数据
在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票...
FBI 警告:招聘网站上的虚假招聘广告可能会窃取个人信息
申请一份新工作通常意味着向潜在的雇主交出一连串的个人信息,这就是为什么联邦调查局警告人们要警惕招聘网站上的假招聘广告,这些广告会窃取和出售你的详细资料。联邦调查局的互联网犯罪中心(IC3)公共服务公告警告说,自2019年以来,受害者因虚假招聘广告而损失的平均金额约为3000美元。 骗子经常仿冒正常...
BlackMatter 团伙窃取1tb数据,勒索新合作社590万美元
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...
美国国土安全部推出“黑客 DHS ”漏洞赏金计划
据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个...
评论列表
发表评论
