2019-08-23 17:28:48 N软网 编辑:红豆 浏览数:46豆角网
Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Wind...“”
Google Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。
CTF 代表什么 Ormandy 没有查到,它是 Windows Text Services Framework (TSF) 的一部分,该系统用于管理 Windows 或 Windows 应用程序内的文本展示。当用户启动一个应用,Windows 会启动一个 CTF 客户端,这个客户端会从一个 CTF 服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入方法从一种语言切换到另一种语言, CTF 服务器会通知所有 CTF 客户端,实时改变语言。
漏洞在于 CTF 服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的 CTF 会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。
漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。
版权与免责声明:
凡未注明"稿件来源"的内容均为转载稿,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
本文地址://www.aolclints.com/news/2019/08/23/61846958.html
转载本站原创文章请注明来源:豆角网
“ ”
IT之家7月13日消息 本周,ThinkPad X1 Carbon 2019 系列正式发布,加入独立4G联网功能,现在这...[详细]
“ ”
IT之家7月17日消息 苹果今天凌晨推送了iOS 12.4开发者预览版Beta 7系统更新,主要是系统Bug修复与提升稳...[详细]
“ ”
据国外媒体报道,亚马逊CEO杰夫·贝索斯(Jeff Bezos)的前妻麦肯齐·贝索斯(MacKenzie Bezos)已...[详细]
“ ”
IT之家8月5日消息 7月底,宏碁推出了FUN 品牌的笔记本,i5-8265U+8G+512G PCIe SSD+MX2...[详细]
“ ”
近日,特斯拉首席执行官挨隆马斯克表示,将为那些购买了完整自动驾驶功能的老款特斯车型在今年年底前进行免费的芯片升级。马斯克...[详细]