谷歌团队黑掉Windows记事本
2019-06-03 19:02
866 查看
据 Threatpost 的报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口。
该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。
这个问题的具体细节尚未透露,Travis 表示已通知微软,微软有长达 90 天的时间,在漏洞披露之前修复这个问题。
“记事本暴露的攻击面很少,但它仍足以让攻击者运行任意代码”,White Note 创始人 Dan Kaminsky 表示,我们不能因为记事本简单,就觉得它肯定很安全。
与此同时,也有知情研究人员指出,黑客在记事本中打开文件之前,需要先获取目标。而除了已经弃用的 IE 11,这种情况一般不会发生。“在今天IE 发布缓解措施后,除非坐在电脑前,否则你无法在系统上启动记事本”,Kaminsky 解释。
值得一提的是,记事本也是不少开发者常用的软件 —— 毕竟它似乎是打开未知文件最方便安全的方式。但现在看来,这种做法是否 “安全”,可能得打个问号了。
相关文章推荐
- Linux和windows中的换行符差异问题 LINUX的换行符在Windows记事本打开不换行或出现黑点
- 推荐一个记事本程序(替代windows记事本)
- DotNet WebService和WindowsService团队开通
- 谷歌搜索团队成为历史 悄然更名为知识团队
- 给Windows的记事本添加上下翻页功能(1)
- 基于花生棒在windows下小团队软件开发及web演示服务器的搭建
- Windows HPC Server 2008背后的中国团队
- ubuntu解决打开windows记事本txt文件乱码的问题
- 《我的记事本(模仿Windows记事本程序)》程序源码
- 解决Windows记事本打开Linux程序注释乱码排版混乱的问题
- 谷歌涂鸦幕后团队揭秘
- windows自带记事本导致文本文件(UTF-8编码)开头三个字符乱码问题
- 一条Dos命令使用notepad2替换windows自带记事本
- 推荐一个记事本程序(替代windows记事本)
- 谷歌研究发现优秀的团队必须具备这五个关键特质
- 从中性的bytes获取正确的编码(如windows自带的记事本)
- [转]保护眼睛的Windows和IE、Firefox、谷歌等浏览器颜色设置
- 揭秘谷歌中国厨师团队:不创新会死
- 谷歌大神Jeff Dean亲口讲述团队工作: 我们是如何用一项技术打造出数十种产品的