APP下载

微软“远端协助”有漏洞,恐使用户资料不保

2018-03-22 18:31

图片来源: 

趋势科技

安全业者发现微软远端协助(remote assistance)存在一项漏洞,可能导致用户电脑敏感资讯被窃取。
 
趋势科技的Zero Day Initiative研究人员 Nabeel Ahmed发现该漏洞后通报微软。编号CVE-2018-0878为一XXE (XML External Entity)漏洞,它发生在Windows远端协助服务。这项服务让用户可以发讯息邀请他人协助,或是接受他人邀请提供协助。攻击则发生在后者。
 
接受他人邀请时,用户会将邀请储存为.msrcincident档,或是收到一则包含.msrcincident附档的电子邮件。这个档的XML资料包括多种参数及值。然而Windows的XML parser并未执行充份的验证,使攻击者可以加入恶意值,锁定包含用户名称及密码的特定log或config档。
 
此一XXE漏洞可被发动大规模网钓攻击。骇客只要传送一则恶意远端协助邀请给用户,后者接受邀请时以为能帮人解决IT问题,却不知电脑中资讯,或是他透过URL可读取的资讯,已传给攻击者控制的远端服务器,这些被窃的资讯可能包含在HTTP呼叫回传的URL中传出去。
 
由于攻击需要用户做出行为才会发生,因此风险程度列为“中等”。但微软表示,虽然本漏洞不足以导致系统被骇,但配合其他漏洞则可能造成严重后果。
 
这项漏洞影响所有版本的Windows,包括Windows 7、8.1、RT 8.1及10、Server 2008、2012、2016。所幸微软已在本月的每月更新予以修补。

 

相关文章

最新资讯

  • 我国客服行业正从传统人工向智能化转型
    2019-12-05 20:52
  • 国防医学院启用全台首间MR解剖教室,打破400年一成不变的解剖学学习方式
    2019-12-05 20:51
  • Apple 传明年出 5 款 iPhone:一图看齐所有规格
    2019-12-06 01:07
  • 康旗股份获评猎聘“2019上海多元非凡雇主”奖
    2019-12-05 23:53
  • 标准化+可定制 云天励飞AI算法赋能百业
    2019-12-05 23:53

手机

  • 可以更新你手上的 S10 啰 三星今日推出 Galaxy S10 系列 Android 10 更新
    2019-12-05 19:52
  • 三星 Galaxy 十周年礼盒开箱 手机、耳机、手表、配件一次购齐
    2019-12-05 15:50
  • 曾说不会说服消费者购买的华为Mate30 Pro发表21天后取消上市 真是因为供货问题?
    2019-12-05 08:49
  • 华为 Mate 30 取消上市 华为 Watch GT 2 也不推出 消费者下周起可申请退款
    2019-12-04 18:49
  • 最平价实惠的中阶手机 高画素 Realme 5 Pro 动手玩
    2019-12-04 14:50

数码

  • 笨笨鼠新年手机壳提前安排!种草一波走起!
    2019-12-06 01:57
  • 高通与苹果联手推出iPhone5g手机 将以最快速度发布
    2019-12-05 18:53
  • 智能电视怎样阻止系统升级?当贝市场花式解决
    2019-12-06 01:11
  • vivo Y9s美图鉴赏:独特的外观设计将再次引领…
    2019-12-06 01:11
  • b站2019年度弹幕报告 十大弹幕流行语热词意思出处解读
    2019-12-05 18:53

科技

  • 女性月服避孕药研发成功 将进入人体测试
    2019-12-06 01:06
  • 你那是馋她的身子是什么梗啥意思 你就是馋人家身子表情出处
    2019-12-06 01:06
  • 扶她奶茶是什么意思 扶她奶茶解压密码梗出处
    2019-12-06 01:06
  • 蒲公英女孩是什么梗 说女生像蒲公英是什么意思寓意
    2019-12-06 01:06
  • 《流浪地球》将上银幕 大刘埋的这个梗会终结《三体》?
    2018-07-14 01:31