手机版
你好,游客 登录 注册
背景:
阅读新闻

Google公布微软自Windows XP以来未修复的安全漏洞

[日期:2019-08-15] 来源:Linux公社  作者:醉落红尘 [字体: ]

昨天,微软已经推出本月针对各种产品的例行累积更新来修复各种漏洞,但微软尚未解决已知的安全漏洞。鉴于此Google安全实验室,此安全漏洞已直接披露,因为此漏洞已超出Google指定的预定修复时间。该漏洞存在于Microsoft的文本服务框架(TSF)中,此漏洞会影响所有版本的Windows XP及更高版本。

Google安全研究员Taviso发布了一份关于安全博客漏洞的非常详细的研究报告,此漏洞已经通知微软。但是Taviso不知道为什么微软没有修复这个漏洞,是因为修复太复杂而且暂时不为人知。但是,根据Google的规定,所有漏洞必须在90天内或额外15天的缓冲中修复,并且无论修补程序是否过期,漏洞都将被披露。由于Microsoft在修复错误之后未发布安全更新来修复漏洞,因此Google实验室彻底披露了此漏洞。

易受攻击的文本服务框架主要调用各种输入方法,然后在应用程序窗口中输入内容或显示输入内容。实际上,Microsoft已经使用沙箱技术和流量控制技术来隔离应用程序,并且应用程序之间的许多交互信息都被直接过滤。但是,可以使用文本服务框架中的安全漏洞来增强权限,甚至可以通过利用漏洞将普通用户权限转换为管理员权限。使用管理员权限可以立即完成的事情变得非常多,成功利用此漏洞的攻击者实际上可以完全控制整个系统。

文本服务框架是Microsoft多年前开发的一种系统服务。谷歌研究人员已经发现,该服务有很多代码注释。研究人员推测,服务组件应该已经被放弃,但最终,一些内容被保留,直到现在,Windows 10也被保留。事实上,最早的文本服务框架是2001年发布的微软Microsoft Office XP版本,该版本未包含在操作系统中。 Microsoft将此服务框架从软件迁移到操作系统,然后将其保留在所有未来版本中。

来源,图片 google project zero

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-08/160079.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款