您现在的位置是:首页 > 教程资讯

Microsoft Windows .Group文件URL字段名零日漏洞

作者:果E安全网时间:2020-10-25 21:50:37分类:教程资讯

简介安全性科学研究工作人员JohnPage在其个人网站公布公布了一个MicrosoftWindows漏洞,该漏洞涉及Windows.Group文件种类。Group文件是由WindowsContacts建立的一系列手机联系人信息,WindowsContacts是Windows中的一个内嵌式联系人管理程序流程。储存到Group文件的手机联系人名册能够用以建立邮件

1.jpg

安全性科学研究工作人员John Page在其个人网站公布公布了一个Microsoft Windows漏洞,该漏洞涉及Windows .Group文件种类。Group文件是由Windows Contacts建立的一系列手机联系人信息,Windows Contacts是Windows中的一个内嵌式联系人管理程序流程。储存到Group文件的手机联系人名册能够用以建立邮件归档,另外向好几个邮箱地址邮件发送信息。

在点一下“Contact Group Details”标识Website Go按键时,假如网址URL字段名偏向一个可实行文件时,.Group文件会出現非预估的代码执行。

Page曾在2018年十二月根据ZDI向Microsoft申报了一个涉及CONTACT文件的高风险漏洞,CVSS得分为7.8。该漏洞来源于对CONTACT文件的处理方式存在的问题,远程控制攻击者可利用该漏洞在当今客户的前后文中实行随意编码。但是要利用该漏洞,攻击者必须引诱客户浏览故意网页页面或开启故意文件。

依据ZDI公布的內容,Microsoft那时候仍未马上恢复该漏洞,只是表明会在未来处理。

微软回应ZDI.pngPage觉得本次的.Group文件漏洞的比较严重水平仍为高风险,并将漏洞信息报赠给了Microsoft。可是,Microsoft觉得该漏洞的种类与先前涉及CONTACT文件的漏洞种类是一样的,而先前的CONTACT文件漏洞仍处在未恢复情况。

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句