Google研究人員發現微軟記事本漏洞

谷歌抓蟲大隊Google Project Zero研究員Tavis Ormandy上周在Twitter上揭露,他發現了微軟Windows作業系統內建的記事本(Notepad)含有一記憶體毀壞(memory corruption)漏洞,允許駭客將記事本變成遠端存取殼層,進而入侵作業系統。

跟隨著Windows 1.0於1985年誕生的記事本,一直是Windows內建的純文字編輯程式,它的介面及功能很簡單,也方便使用,最常用的檔案格式為.txt。

Ormandy並未公布漏洞細節,只說這是個真正的記憶體毀損漏洞,已經通知了微軟安全團隊,並給予微軟90天的修補期限,若微軟一旦修補,或者是90天的期限到了,他便會詳細說明。

網路安全業者White Ops創辦人Dan Kaminsky向MSPoweruser透露,記事本的攻擊表面很少,沒想到還是能讓駭客取得執行任何程式的能力。

不過,專門收購零時差漏洞與攻擊程式的Zerodium創辦人Chaouki Bekrar也在自己的Twitter上回應了此事,他說Ormandy並不是第一個找到開採記事本方式的研究人員,但可能是第一個知會微軟的人。

原文來自 iThome Online