微软曾在去年夏天为Windows 10 记事本程序发布更新,记事本已经发布许多年都是通常微软不会主动更新,所以去年那次更新也让不少用户感到惊讶,当时微软给记事本新增编码支持以及使用鼠标滚动放大和缩小等,但你能想到这个我们非常熟悉的记事本竟然还会出现零日漏洞吗?是的没错这回记事本真被谷歌发现有漏洞。
应该是个内存损坏漏洞:
谷歌旗下安全实验室的安全工程师塔维斯 • 奥曼迪日前在推特上表示,已在记事本程序里找到某个零日漏洞。
从塔维斯 • 奥曼迪在推特上发布的截图上看这位安全工程师成功在记事本进程下启动 CMD 命令提示符窗口。
而且对于从记事本里发现的零日漏洞塔维斯也和我们一样非常惊讶,毕竟这款传统应用已经陪伴我们许多年。
据公众号二道情报贩子称该漏洞可能是个内存损坏漏洞,或许直接给人发个.TXT文本真的可以用来发动攻击。
目前该漏洞已经提交给微软:
鉴于属于漏洞所以在修复前安全工程师还无法公开漏洞细节,按谷歌规矩通常给开发商 90 天时间进行修复。
而在 90 天内无论漏洞是否修复对应的漏洞细节都会自动公开,所以之前微软就这个事还公开怼过谷歌几次。
塔维斯在推特回复中称漏洞当前已经提交给微软,期初微软回复说这个不是漏洞不过塔维斯提交了更多证据。
塔维斯表示已经确认该漏洞确实是有效的所以并不是开玩笑,现在只有等微软修复漏洞后我们才能知道细节。
信息安全公司 ZERODIUM 创始人评论说能在记事本里发现漏洞并不罕见,只是多数漏洞都被黑客悄悄卖掉。
所以真正罕见的是竟然有安全专家发现记事本的漏洞并且还把漏洞报告给微软,而不是直接把漏洞直接卖掉。
