微软已经修补了允许在 Windows 7、Windows 8 和 Windows 10 上创建计算机蠕虫的漏洞。该发行商还纠正了一个存在 20 年的缺陷,允许权限提升。
昨天,在补丁星期二之际,微软发布了需要紧急安装的修复程序(如果您还没有这样做的话)。事实上,它们堵住了一系列极其严重的缺陷,特别是影响了最新版本的操作系统。微软安全研究人员发现了两个与“BlueKeep”类似的缺陷(CVE-2019-1181和CVE-2019-1182)。
提醒一下,BlueKeep 是 RDP(远程桌面协议)远程控制协议中的一个漏洞。去年 5 月检测到,它允许为 Windows XP 和 Windows 7 等旧系统创建计算机蠕虫。因此,它具有与 WannaCry 或 NotPetya 相当的破坏性潜力。
受影响的三个 Windows 版本
这两个新缺陷也是如此,它们也允许创建计算机蠕虫。但就他们而言,情况更糟,因为它们影响最新版本的操作系统,即 Windows 7、Windows 8 和 Windows 10。
目前,很难知道有多少计算机受到这些新缺陷的影响。一些专家估计,这比 BlueKeep 还要多。截至去年 7 月底,超过 788,000 台 Windows 计算机仍然容易受到第一个缺陷的影响(来源:比特视)。
从记事本破解 Windows
周二补丁还修复了所有 Windows 系统中存在 20 多年的缺陷 (CVE-2019-1162)。它是由 Google 零号项目的安全研究员 Tavis Ormandy 发现的,它允许您从任何应用程序获取系统权限。
问题在于 CTextFramework,一个管理文本输入和键盘配置的库。这个源自Windows XP时代的软件实际上漏洞百出。
例如,研究人员设法从……记事本启动具有系统权限的命令提示符。
