2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
微軟有一個關(guān)于Cortana的安全更新,值得一看。
CVE-2018-8140是關(guān)于“Cortana提升特權(quán)脆弱性”的。
這個漏洞是“Cortana在不考慮狀態(tài)的情況下從用戶輸入服務(wù)中檢索數(shù)據(jù)”。成功利用該漏洞的攻擊者可以使用提升的權(quán)限執(zhí)行命令?!?/p>
但是,要使攻擊成功,攻擊者需要物理/控制臺訪問—系統(tǒng)需要啟用Cortana幫助。
更新的內(nèi)容是什么?通過確保Cortana在從輸入服務(wù)檢索信息時考慮狀態(tài),可以解決該漏洞。
這個故事開始于六月的“補(bǔ)丁星期二”(6月12日),當(dāng)它到來的時候,你可以發(fā)誓音樂帶著低沉的警鈴。
這個周期的補(bǔ)丁修復(fù)了一個使用Windows 10和Cortana語音助手默認(rèn)設(shè)置的代碼執(zhí)行漏洞。用技術(shù)行話來說,我們正在研究發(fā)現(xiàn)“Cortana鎖屏繞過Windows 10漏洞”的問題。
McAfee工程師、安全架構(gòu)師塞德里克?科欽(Cedric Cochin)和負(fù)責(zé)高級威脅研究的史蒂夫?波沃尼(Steve Povolny)撰寫了有關(guān)Windows 10小娜問題的文章。他們向讀者介紹了所發(fā)生的事情。
他們寫道:“Siri、Alexa、谷歌Assistant和Cortana等個人數(shù)字助手已成為許多科技公司的商品?!彼麄冞€向微軟報告了關(guān)于Cortana的幾個問題。有報道稱,他們在4月份向微軟披露了這一問題的細(xì)節(jié)。
Cochin和Povolny的團(tuán)隊(duì)注意到,“在我們提交論文的時候,一個由幾名獨(dú)立研究人員組成的團(tuán)隊(duì)也發(fā)現(xiàn)并揭示了這個漏洞?!边@項(xiàng)發(fā)現(xiàn)的額外榮譽(yù)歸于:Ron Marcovich, Yuval Ron, Amichai Shulman和Tal Be"ery。
雖然兩個提供了一個有趣的詳細(xì)的帳戶被確認(rèn)為脆弱點(diǎn),達(dá)倫·阿倫TechRadar提供了一個簡潔的實(shí)得的是什么大不了的:“你可以觸發(fā)語音助理從鎖定屏幕(如果啟用Cortana在這方面,在默認(rèn)設(shè)置),并彈出上下文窗口10菜單簡單查詢通過輸入而Cortana聽。”
是的,微軟已經(jīng)修補(bǔ)了這些問題。
“在Windows 10中,在提交時的最新版本中,我們注意到默認(rèn)設(shè)置啟用了鎖屏的‘嘿Cortana’,允許任何人與基于語音的助手進(jìn)行交互?!?/p>
兩人表示,這導(dǎo)致了允許任意代碼執(zhí)行的漏洞。他們說,在Cortana開始監(jiān)聽鎖定設(shè)備上的查詢時打字,會彈出一個Windows上下文菜單。
(露出痛苦的微笑。)
“我們現(xiàn)在有一個上下文菜單,顯示在一個鎖定的Windows 10設(shè)備上,”他們說?!皶鍪裁磫栴}呢?”
Windows Central說,如果黑客執(zhí)行正確,“黑客可以從鎖定屏幕使用Cortana運(yùn)行PowerShell腳本或從u盤加載惡意軟件。”丹·索普·蘭開斯特說:“研究人員還可以利用這一漏洞進(jìn)行密碼重置,并獲得對電腦的完全訪問權(quán)?!?/p>
他們可以在任何相關(guān)的比賽。如果匹配是由文件名匹配驅(qū)動的,那么您將看到文件的完整路徑。如果匹配是由文件內(nèi)容匹配驅(qū)動的,那么您可能會看到文件本身的內(nèi)容。
邁克菲夫婦進(jìn)一步詳細(xì)地介紹了他們對小娜的檢查,最后他們指出了特別重要的一點(diǎn)?!罢Z音指令和個人數(shù)字助理生成的攻擊界面需要更多的調(diào)查;我們只是在這個關(guān)鍵領(lǐng)域進(jìn)行大量研究的冰山一角?!?/p>
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。