谷歌研究员发现Windows记事本存在代码执行漏洞

曾经有多少人，梦想通过记事本，去入侵别人的计算机。

甚至还出现了 TXT 0day攻击这类老笑话。

然而，这个攻击方法真的出现并且被证实有效了！

Google Project Zero研究员Tavis Ormandy宣布在微软的记事本文本编辑器中发现代码执行漏洞。

可以看见，他在notepad（记事本）程序下启动了一个cmd！

可见发tweet的他如此兴高采烈

并且还吸引了Zerodium的创始人出面评论，证实了黑客发现的问题类型并不罕见。但真正令人惊讶的是有人向Microsoft报告，而不是利用它或试图出售它。

Ormandy向微软报告了该问题，并将根据谷歌漏洞政策披露等待90天，然后再透露该漏洞的技术细节。

当然，在微软发布安全补丁以解决这个问题之后，Ormandy还可以透露漏洞的细节。

Ormandy预计该漏洞是一个内存损坏漏洞，他通过Twitter分享了一个图像，演示了如何管理“在记事本中弹出一个shell”。

Ormandy发布的图片显示该漏洞已被利用来启动命令提示符，专家证实他已经为该问题开发了“真正的漏洞利用”。

声明：本文来自二道情报贩子，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。