Google研究人員發現微軟記事本漏洞

谷歌抓蟲大隊Google Project Zero研究員Tavis Ormandy上周在Twitter上披露，他發現了微軟Windows操作系統內置的記事本（Notepad）含有一內存毀壞（memory corruption）漏洞，允許黑客將記事本變成遠程訪問殼層，進而入侵操作系統。

跟隨著Windows 1.0於1985年誕生的記事本，一直是Windows內置的純文本編輯程序，它的介面及功能很簡單，也方便使用，最常用的文件格式為.txt。

Ormandy並未公布漏洞細節，只說這是個真正的內存毀損漏洞，已經通知了微軟安全團隊，並給給微軟90天的修補期限，若微軟一旦修補，或者是90天的期限到了，他便會詳細說明。

網路安全企業White Ops創辦人Dan Kaminsky向MSPoweruser透露，記事本的攻擊表面很少，沒想到還是能讓黑客取得執行任何程序的能力。

不過，專門收購零時差漏洞與攻擊程序的Zerodium創辦人Chaouki Bekrar也在自己的Twitter上回應了此事，他說Ormandy並不是第一個找到開採記事本方式的研究人員，但可能是第一個知會微軟的人。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！