大家知道Windows會有很多漏洞,但是一般很快都會被微軟發布而及時修復,但是大家知道嗎,有漏洞存在近20年而未被修復,這次谷歌安全實驗室將這枚安全漏洞直接公開,因為這枚漏洞已經超過谷歌規定的計劃修復時間。這個該安全漏洞位于微軟的文本服務框架中,而且這枚安全漏洞影響自Windows XP以及該版本之后的所有版本,可以說是留存已久。
這枚漏洞存在將近20年未被發現和修復:
文本服務框架是微軟在許多年前開發的系統服務,谷歌研究人員進行逆向后發現這個服務存在許多代碼標注。
研究人員推測這個服務組件原本應該被拋棄但最終還有部分內容被保留,直到現在Windows 10也同樣保留。
事實上最早包含文本服務框架的還是微軟在2001年發布的Microsoft Office XP版 , 當時不包括在操作系統。
不知道后來什么原因微軟將這個服務框架從軟件移動到操作系統里,然后在以后的所有版本里都得到了保留。
這也是將近二十年來這枚漏洞首次公開曝光,不好說是不是已經餓 黑客發現并利用了這枚漏洞~畢竟尚未有資料顯示。
微軟遲遲沒有修復漏洞:
谷歌安全研究人員奧曼迪在安全博客發布這份漏洞非常詳細的研究報告,而在此之前漏洞已經通報微軟公司。
但是已經過去很長時間不知道為什么微軟遲遲沒有修復這枚漏洞,是否是因為修復過于復雜暫時也是未知的。
不過按照谷歌規定所有漏洞通報后需要在90天+15天緩沖期內進行修復,不論是否修復到期后漏洞都會公開。
由于微軟超過漏洞修復時間沒有發布安全更新對漏洞進行封堵,于是谷歌實驗室將這枚安全漏洞徹底的公開。
出現漏洞的文本服務框架主要會調用各種輸入法,然后在應用程序窗口中輸入內容或者是顯示輸入的內容等。
實際上微軟已經采用沙盒技術和流控制技術來隔離應用程序,應用程序之間的交互信息很多都會被直接過濾。
但利用文本服務框架中的安全漏洞可以用來提升權限,即便是普通用戶權限也可以借助漏洞變成管理員權限。
有管理員權限后能做的事情瞬間就變得非常多,成功利用這枚漏洞的攻擊者實際已經可以完全控制整個系統。
PS:操作系統是一個龐大的代碼載體,漏洞千千萬萬,只有沒被發現,其實還是存在的~