您的位置: 首頁 >科技 >

Cortana漏洞已修復(fù)

2022-06-30 04:16:12 編輯:諸葛藍(lán)璐 來源:
導(dǎo)讀 微軟有一個關(guān)于Cortana的安全更新,值得一看。CVE-2018-8140是關(guān)于“Cortana提升特權(quán)脆弱性”的。這個漏洞是“Cortana在不考慮狀態(tài)的情

微軟有一個關(guān)于Cortana的安全更新,值得一看。

CVE-2018-8140是關(guān)于“Cortana提升特權(quán)脆弱性”的。

這個漏洞是“Cortana在不考慮狀態(tài)的情況下從用戶輸入服務(wù)中檢索數(shù)據(jù)”。成功利用該漏洞的攻擊者可以使用提升的權(quán)限執(zhí)行命令?!?/p>

但是,要使攻擊成功,攻擊者需要物理/控制臺訪問—系統(tǒng)需要啟用Cortana幫助。

更新的內(nèi)容是什么?通過確保Cortana在從輸入服務(wù)檢索信息時考慮狀態(tài),可以解決該漏洞。

這個故事開始于六月的“補(bǔ)丁星期二”(6月12日),當(dāng)它到來的時候,你可以發(fā)誓音樂帶著低沉的警鈴。

這個周期的補(bǔ)丁修復(fù)了一個使用Windows 10和Cortana語音助手默認(rèn)設(shè)置的代碼執(zhí)行漏洞。用技術(shù)行話來說,我們正在研究發(fā)現(xiàn)“Cortana鎖屏繞過Windows 10漏洞”的問題。

McAfee工程師、安全架構(gòu)師塞德里克?科欽(Cedric Cochin)和負(fù)責(zé)高級威脅研究的史蒂夫?波沃尼(Steve Povolny)撰寫了有關(guān)Windows 10小娜問題的文章。他們向讀者介紹了所發(fā)生的事情。

他們寫道:“Siri、Alexa、谷歌Assistant和Cortana等個人數(shù)字助手已成為許多科技公司的商品?!彼麄冞€向微軟報告了關(guān)于Cortana的幾個問題。有報道稱,他們在4月份向微軟披露了這一問題的細(xì)節(jié)。

Cochin和Povolny的團(tuán)隊(duì)注意到,“在我們提交論文的時候,一個由幾名獨(dú)立研究人員組成的團(tuán)隊(duì)也發(fā)現(xiàn)并揭示了這個漏洞?!边@項(xiàng)發(fā)現(xiàn)的額外榮譽(yù)歸于:Ron Marcovich, Yuval Ron, Amichai Shulman和Tal Be"ery。

雖然兩個提供了一個有趣的詳細(xì)的帳戶被確認(rèn)為脆弱點(diǎn),達(dá)倫·阿倫TechRadar提供了一個簡潔的實(shí)得的是什么大不了的:“你可以觸發(fā)語音助理從鎖定屏幕(如果啟用Cortana在這方面,在默認(rèn)設(shè)置),并彈出上下文窗口10菜單簡單查詢通過輸入而Cortana聽。”

是的,微軟已經(jīng)修補(bǔ)了這些問題。

“在Windows 10中,在提交時的最新版本中,我們注意到默認(rèn)設(shè)置啟用了鎖屏的‘嘿Cortana’,允許任何人與基于語音的助手進(jìn)行交互?!?/p>

兩人表示,這導(dǎo)致了允許任意代碼執(zhí)行的漏洞。他們說,在Cortana開始監(jiān)聽鎖定設(shè)備上的查詢時打字,會彈出一個Windows上下文菜單。

(露出痛苦的微笑。)

“我們現(xiàn)在有一個上下文菜單,顯示在一個鎖定的Windows 10設(shè)備上,”他們說?!皶鍪裁磫栴}呢?”

Windows Central說,如果黑客執(zhí)行正確,“黑客可以從鎖定屏幕使用Cortana運(yùn)行PowerShell腳本或從u盤加載惡意軟件。”丹·索普·蘭開斯特說:“研究人員還可以利用這一漏洞進(jìn)行密碼重置,并獲得對電腦的完全訪問權(quán)?!?/p>

他們可以在任何相關(guān)的比賽。如果匹配是由文件名匹配驅(qū)動的,那么您將看到文件的完整路徑。如果匹配是由文件內(nèi)容匹配驅(qū)動的,那么您可能會看到文件本身的內(nèi)容。

邁克菲夫婦進(jìn)一步詳細(xì)地介紹了他們對小娜的檢查,最后他們指出了特別重要的一點(diǎn)?!罢Z音指令和個人數(shù)字助理生成的攻擊界面需要更多的調(diào)查;我們只是在這個關(guān)鍵領(lǐng)域進(jìn)行大量研究的冰山一角?!?/p>


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。