Google公布微软自Windows XP以来未修复的安全漏洞
昨天,微软已经推出本月针对各种产品的例行累积更新来修复各种漏洞,但微软尚未解决已知的安全漏洞。鉴于此Google安全实验室,此安全漏洞已直接披露,因为此漏洞已超出Google指定的预定修复时间。该漏洞存在于Microsoft的文本服务框架(TSF)中,此漏洞会影响所有版本的Windows XP及更高版本。
Google安全研究员Taviso发布了一份关于安全博客漏洞的非常详细的研究报告,此漏洞已经通知微软。但是Taviso不知道为什么微软没有修复这个漏洞,是因为修复太复杂而且暂时不为人知。但是,根据Google的规定,所有漏洞必须在90天内或额外15天的缓冲中修复,并且无论修补程序是否过期,漏洞都将被披露。由于Microsoft在修复错误之后未发布安全更新来修复漏洞,因此Google实验室彻底披露了此漏洞。
易受攻击的文本服务框架主要调用各种输入方法,然后在应用程序窗口中输入内容或显示输入内容。实际上,Microsoft已经使用沙箱技术和流量控制技术来隔离应用程序,并且应用程序之间的许多交互信息都被直接过滤。但是,可以使用文本服务框架中的安全漏洞来增强权限,甚至可以通过利用漏洞将普通用户权限转换为管理员权限。使用管理员权限可以立即完成的事情变得非常多,成功利用此漏洞的攻击者实际上可以完全控制整个系统。
文本服务框架是Microsoft多年前开发的一种系统服务。谷歌研究人员已经发现,该服务有很多代码注释。研究人员推测,服务组件应该已经被放弃,但最终,一些内容被保留,直到现在,Windows 10也被保留。事实上,最早的文本服务框架是2001年发布的微软Microsoft Office XP版本,该版本未包含在操作系统中。 Microsoft将此服务框架从软件迁移到操作系统,然后将其保留在所有未来版本中。
来源,图片 google project zero
- 微软下周二将发布2个安全公告 修复8个Windows和Office漏洞
- 微软发布本月16个安全补丁 修复34个漏洞
- 微软下周将发布重磅安全公告 修复40个漏洞
- 微软忘记修复Mac Office2004/2008安全漏洞
- 微软发布IE漏洞修复补丁 “出昏招”顺带拯救Windows XP
- 能存活19年的bug不是bug——有感于微软宣布修复了一个存在了19年的安全漏洞
- Google发布2019年7月Android安全补丁,修复30多个安全漏洞
- 微软1月补丁星期二活动,修复了51个安全漏洞
- 微软推出Windows XP/Server 2003紧急安全补丁:修复远程桌面CVE-2019-0708漏洞
- 微软发布十月份安全公告 将修复四个严重安全漏洞
- 微软发布四月份8个安全补丁 修复23个漏洞 下载
- 趋势科技:微软已修复IE7的最新安全漏洞
- Google修复Chrome三个重要安全漏洞
- 微软刚公布了8个安全漏洞(5个高危):(,大家赶紧打补丁吧!
- 微软下周二发2个安全公告 修复8个漏洞
- 微软CTF协议曝出漏洞 影响Windows XP发布以来的所有系统
- 微软发布应急补丁 修复IE零日攻击安全漏洞
- 绿盟科技紧急通告:微软发布安全公告并修复多个严重安全漏洞
- 微软已修复Win7/Win8.1媒体中心严重漏洞 用户可下载安装9月安全更新
- Google为Pixel设备发布2019年3月Android安全补丁,修复45个安全漏洞