各地车市: 广州 | 北京 | 镇江 | 苏州 | 南京 | 新疆 | 厦门 | 广西 | 天津 | 深圳 | 佛山 | 杭州 | 上海 | 合肥 | 河南 | 河北 | 太原 | 昆山 | 昆明 | 武汉 | 兰州 | 沈阳 | 西安 | 大连 | 福建 | 全国车市入口>>
位置: 汽车资讯报->国内新车->Windows10Cortana漏洞可操控锁屏后的系统

Windows10Cortana漏洞可操控锁屏后的系统

McAfee 刚刚宣布,他们在 Windows 10 中的 Cortana 数字助理身上发现了一个新的漏洞,且其竟然可以获得锁定后的系统的物理访问许可权。 万幸的是,这两个新漏...

McAfee 刚刚宣布,他们在 Windows 10 中的 Cortana 数字助理身上发现了一个新的漏洞,且其竟然可以获得锁定后的系统的物理访问许可权。 万幸的是,这两个新漏洞已经作为微软 8 月 Windows 10 更新的一部分而得到了解决,因为 McAfee 实验室的高级威胁研究团队在第一时间向微软通报了此事。

该公司称,使用 Cortana 锁定的 Windows 10 设备,可能允许具有物理访问许可权的攻击者, 在未修补的系统上机型两种未经授权的浏览:

攻击者可以强制 Microsoft Edge 导航至被攻击者控制的 URL;

攻击者可以使用受保护的受害者凭据,使用首先版本的 IE 11 浏览器。

两位研究人员(Cedric Cochin 和 Steve Povolny) 在博客文章中解释道:

第一种情况下,Cortana 许可权提升会导致锁屏上的强制导航。该漏洞不允许攻击者解锁设备,但它却是允许具有物理访问许可权的人,强制 Edge 在设备仍处于锁定状态时,导航到攻击者指定的页面。

这与 BadUSB bug、中间人或流氓 Wi-Fi 等攻击方式不同,只是简单的语音命令、以及与设备的触屏或鼠标交互。

McAfee 还披露了在最新的 Patch Tuesday(每月第二个周二) 更新中解决的其它发现:

McAfee 研究人员发现,在处于锁定状态时,Cortana 可能被迫打开受攻击控制的页面。恶意人员可以利用它来操纵危机百科页面(Cortana 经常在锁定模式下作为‘可信站点’来引用),以包含恶意链接和信息。

研究人员还发现,攻击者可以通过 Internet Explorer 引擎(而不是整个 IE 浏览器)来访问和导航,即便 JavaScript 和 Cookie 都一起用。利用此方法,当设备仍处于锁定状态时,攻击者可以通过其它用户的设备,在公共论坛上发表评论、或者利用已缓存的凭据而冒充他人。





今天刊登了《Windows10Cortana漏洞可操控锁屏后的系统》一文


此事更多最新报道请微信扫描二维码

热门推荐

玩了几天中文版的旅行青蛙,不光是中国风那么简单!

这款主打安全加密的U盘支持最多录入10个人的指纹

比原链主网正式上线,下一步计划是孵化第一批应用,推动第一批合适的资产上链

玻璃,为什么被称为“人类最重要的材料”

吉尔吉斯斯坦国立医院首次研发仿生义肢,可由大脑意念操控

南极地区出现湖泊,企鹅丧失家园,科学家:这是灾难的预兆

亚马逊EchoSub评测可与老款Echo配合成立体声系统

苹果iPhone9概念渲染图:6.1英寸无刘海
凯迪拉克XTS 普拉多 卡罗拉 普锐斯 丰田RAV4 宝马3系 宝马5系 宝马X1 标致408 标致307 凯越 昂科拉
返回汽车中国首页