曾经有多少人,梦想通过记事本,去入侵别人的计算机。

甚至还出现了 TXT 0day攻击这类老笑话。

然而,这个攻击方法真的出现并且被证实有效了!

Google Project Zero研究员Tavis Ormandy宣布在微软的记事本文本编辑器中发现代码执行漏洞。

可以看见,他在notepad(记事本)程序下启动了一个cmd!

可见发tweet的他如此兴高采烈

并且还吸引了Zerodium的创始人出面评论,证实了黑客发现的问题类型并不罕见。但真正令人惊讶的是有人向Microsoft报告,而不是利用它或试图出售它。

Ormandy向微软报告了该问题,并将根据谷歌漏洞政策披露等待90天,然后再透露该漏洞的技术细节。

当然,在微软发布安全补丁以解决这个问题之后,Ormandy还可以透露漏洞的细节。

Ormandy预计该漏洞是一个内存损坏漏洞,他通过Twitter分享了一个图像,演示了如何管理“在记事本中弹出一个shell”。

Ormandy发布的图片显示该漏洞已被利用来启动命令提示符,专家证实他已经为该问题开发了“真正的漏洞利用”。

声明:本文来自二道情报贩子,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。