設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

微軟 Win10 Paint 3D 被曝存在遠(yuǎn)程代碼執(zhí)行漏洞,Win11 用戶不用擔(dān)心

2021/6/19 21:52:03 來(lái)源:IT之家 作者:騎士 責(zé)編:騎士

IT之家 6 月 19 日消息 微軟 Windows 10 從創(chuàng)意者更新版本開始引入了 Paint 3D,希望幫助大家?guī)?lái)新的創(chuàng)意體驗(yàn),但事實(shí)證明,功能和安全需要同等重視。在 ZDI 研究人員發(fā)現(xiàn) 3D 建模軟件存在遠(yuǎn)程代碼執(zhí)行漏洞后,該應(yīng)用實(shí)際上也對(duì)你的系統(tǒng)健康造成了威脅。

該漏洞是通過探索發(fā)現(xiàn)的,需要用戶加載一個(gè)被破壞的文件,現(xiàn)在微軟已經(jīng)在最新的星期二補(bǔ)丁中進(jìn)行了修復(fù)。

該問題被描述為 CVE-2021-31946,內(nèi)容如下:

Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution 漏洞

該漏洞允許遠(yuǎn)程攻擊者在受影響的 Microsoft Paint 3D 安裝中執(zhí)行任意代碼。利用該漏洞需要用戶互動(dòng),因?yàn)槟繕?biāo)必須訪問一個(gè)惡意網(wǎng)頁(yè)或打開一個(gè)惡意文件。

具體的缺陷存在于 GLB 文件的解析過程中。該問題是由于缺乏對(duì)用戶提供的數(shù)據(jù)的正確驗(yàn)證,這可能導(dǎo)致讀取超過分配的數(shù)據(jù)結(jié)構(gòu)的末端。攻擊者可以利用這個(gè)漏洞,在當(dāng)前進(jìn)程的上下文中以低完整性執(zhí)行代碼。

IT之家獲悉,該漏洞的嚴(yán)重程度為中等,因?yàn)樗蠊粽咭呀?jīng)在你的系統(tǒng)上提升了他們的權(quán)限。

微軟已經(jīng)發(fā)布了該軟件的更新,修復(fù)了這個(gè)問題,但 Windows 11 用戶不必?fù)?dān)心,因?yàn)樵撥浖呀?jīng)不會(huì)再預(yù)裝在該操作系統(tǒng)中。

微軟 Win11 發(fā)布會(huì)專題

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:windows 10,漏洞,畫圖

軟媒旗下網(wǎng)站: IT之家 最會(huì)買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買 要知