安全動(dòng)態(tài)

微軟修復(fù)遠(yuǎn)程執(zhí)行漏洞:能通過iPhone視頻文件遠(yuǎn)程控制PCC

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-10-21    瀏覽次數(shù):
 

信息來源:Cnbeta

由于微軟操作系統(tǒng)在處理 HEVC 文件方式上存在漏洞,那些使用 Windows 設(shè)備的 iPhone 用戶在瀏覽和編輯視頻文件的時(shí)候存在被黑客遠(yuǎn)程攻擊的風(fēng)險(xiǎn)。該漏洞于上周被發(fā)現(xiàn),存在于微軟的 Windows Codecs Library 中,能接管未修復(fù)的設(shè)備并執(zhí)行遠(yuǎn)程代碼。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局已于上周五將威脅標(biāo)記為“威脅”。


QQ截圖20201020080550.png

與大多數(shù)遠(yuǎn)程攻擊媒介一樣,用戶通過打開特殊設(shè)計(jì)的有效負(fù)載(在本例中為 HEVC 圖像文件)來觸發(fā)任意代碼執(zhí)行。Windows 對(duì)編解碼器的處理不當(dāng),觸發(fā)了似乎是內(nèi)存溢出的錯(cuò)誤,從而導(dǎo)致系統(tǒng)被入侵并可能進(jìn)行遠(yuǎn)程接管。

正如外媒 PC World 所指出的,iPhone 用戶特別容易受到這個(gè) Windows 漏洞的影響,尤其是當(dāng)前手機(jī)版本嚴(yán)重依賴 HEVC 進(jìn)行視頻錄制。自 iPhone 7以來,Apple就提供了該編解碼器,并已成為iOS 11的標(biāo)準(zhǔn)高分辨率視頻文件格式。

此外,長(zhǎng)期使用 iPhone 的用戶可能習(xí)慣于接收 HEVC 視頻附件或在線查看文件格式,而從微軟商城手動(dòng)下載HEVC或“來自設(shè)備制造商的HEVC”編解碼器的用戶也容易受到攻擊。

微軟上周發(fā)布了該漏洞的補(bǔ)丁。 1.0.32762.0、1.0.32763.0和更高版本被認(rèn)為可以安全使用,用戶可以從公司的在線商店下載。




 
 

上一篇:報(bào)告顯示微軟是被釣魚黑客模仿最多的品牌

下一篇:2020年10月21日聚銘安全速遞