APP下载

微软“远端协助”有漏洞,恐使用户资料不保

2018-03-22 18:31

图片来源: 

趋势科技

安全业者发现微软远端协助(remote assistance)存在一项漏洞,可能导致用户电脑敏感资讯被窃取。
 
趋势科技的Zero Day Initiative研究人员 Nabeel Ahmed发现该漏洞后通报微软。编号CVE-2018-0878为一XXE (XML External Entity)漏洞,它发生在Windows远端协助服务。这项服务让用户可以发讯息邀请他人协助,或是接受他人邀请提供协助。攻击则发生在后者。
 
接受他人邀请时,用户会将邀请储存为.msrcincident档,或是收到一则包含.msrcincident附档的电子邮件。这个档的XML资料包括多种参数及值。然而Windows的XML parser并未执行充份的验证,使攻击者可以加入恶意值,锁定包含用户名称及密码的特定log或config档。
 
此一XXE漏洞可被发动大规模网钓攻击。骇客只要传送一则恶意远端协助邀请给用户,后者接受邀请时以为能帮人解决IT问题,却不知电脑中资讯,或是他透过URL可读取的资讯,已传给攻击者控制的远端服务器,这些被窃的资讯可能包含在HTTP呼叫回传的URL中传出去。
 
由于攻击需要用户做出行为才会发生,因此风险程度列为“中等”。但微软表示,虽然本漏洞不足以导致系统被骇,但配合其他漏洞则可能造成严重后果。
 
这项漏洞影响所有版本的Windows,包括Windows 7、8.1、RT 8.1及10、Server 2008、2012、2016。所幸微软已在本月的每月更新予以修补。

 

相关文章

最新资讯

  • 微软修补123个安全漏洞
    2020-07-15 23:48
  • 脸书开发可在中压电线上快速部署光纤的机器人
    2020-07-15 22:48
  • 电商管理平台BigCommerce申请IPO
    2020-07-15 22:48
  • 小米手环 5 试玩:测量死物还有无心跳?
    2020-07-15 22:48
  • NCC通过OTT管理法草案,将纳管大型OTT业者、防堵非法中国业者
    2020-07-15 21:49

手机

  • 中阶 5G 手机接力 三星 Galaxy A71 5G、Galaxy A51 5G 七月下旬陆续上市
    2020-07-13 14:45
  • 燃起 Sony α 摄影魂的最速旗舰:解构 Xperia 1 II 大三元镜头与 Photo Pro 专业拍摄模式
    2020-07-13 12:01
  • 手机镜头数量越来越多 有用的真有几个?
    2020-07-10 14:46
  • 不只苹果 传三星也考虑 2021 年部分手机不随附充电器
    2020-07-09 16:45
  • 高通推出 Snapdragon 865+ 处理器 预期将在华硕 ROG Phone 3 电竞手机上首发
    2020-07-09 14:45

数码

  • iphone自拍照片是反的怎么改 自拍镜像设置在哪里
    2020-07-15 23:47
  • 红米9参数详细参数怎么样 红米9优缺点评测值得买吗
    2020-07-15 23:47
  • 创维盒子怎么样,创维盒子新鲜真实使用测评!
    2020-07-15 15:58
  • 游戏手机配置相继升级 打游戏买什么手机好? RO…
    2020-07-15 15:57
  • Win10发布5月更新补丁KB4565503:解决强制重启问题
    2020-07-15 16:47

科技

  • 飞猪任性飞是什么怎么样 飞猪任性飞使用规则详情
    2020-07-15 23:46
  • 萤火虫发光也会发热吗? 答案是还是不是 萤火虫发光原理介绍
    2020-07-15 23:46
  • 小米彻底发飙 新版千元神机诞生:性价比无机可敌
    2018-05-31 02:32
  • 华为发飙:荣耀v10降至历史新低 网友:我等小米8
    2018-05-31 02:32
  • 低速、限定场景是自动驾驶商业化破局的全部吗?
    2018-05-31 02:32