Google研究人员发现微软记事本漏洞

谷歌抓虫大队Google Project Zero研究员Tavis Ormandy上周在Twitter上揭露，他发现了微软Windows操作系统内建的记事本（Notepad）含有一内存毁坏（memory corruption）漏洞，允许骇客将记事本变成远端存取壳层，进而入侵操作系统。

跟随着Windows 1.0于1985年诞生的记事本，一直是Windows内建的纯文字编辑程式，它的界面及功能很简单，也方便使用，最常用的档案格式为.txt。

Ormandy并未公布漏洞细节，只说这是个真正的内存毁损漏洞，已经通知了微软安全团队，并给予微软90天的修补期限，若微软一旦修补，或者是90天的期限到了，他便会详细说明。

网络安全业者White Ops创办人Dan Kaminsky向MSPoweruser透露，记事本的攻击表面很少，没想到还是能让骇客取得执行任何程式的能力。

不过，专门收购零时差漏洞与攻击程式的Zerodium创办人Chaouki Bekrar也在自己的Twitter上回应了此事，他说Ormandy并不是第一个找到开采记事本方式的研究人员，但可能是第一个知会微软的人。