原标题:微软“远端协助”有漏洞,恐使用户资料不保
图片来源:趋势科技
安全业者发现微软远端协助(remote△assistance)存在一项漏洞,可能导致用户电脑敏感资讯被窃取。?趋势科技的Zero△Day△Initiative研究人员 Nabeel△Ahmed发现该漏洞后通报微软。编号CVE-2018-0878为一XXE△(XML△External△Entity)漏洞,它发生在Windows远端协助服务。这项服务让用户可以发讯息邀请他人协助,或是接受他人邀请提供协助。攻击则发生在后者。?接受他人邀请时,用户会将邀请储存为.msrcincident档,或是收到一则包含.msrcincident附档的电子邮件。这个档的XML资料包括多种参数及值。然而Windows的XML△parser并未执行充份的验证,使攻击者可以加入恶意值,锁定包含用户名称及密码的特定log或config档。?此一XXE漏洞可被发动大规模网钓攻击。骇客只要传送一则恶意远端协助邀请给用户,后者接受邀请时以为能帮人解决IT问题,却不知电脑中资讯,或是他通过URL可读取的资讯,已传给攻击者控制的远端伺服器,这些被窃的资讯可能包含在HTTP呼叫回传的URL中传出去。?由于攻击需要用户做出行为才会发生,因此风险程度列为“中等”。但微软表示,虽然本漏洞不足以导致系统被骇,但配合其他漏洞则可能造成严重后果。?这项漏洞影响所有版本的Windows,包括Windows△7、8.1、RT△8.1及10、Server△2008、2012、2016。所幸微软已在本月的每月更新予以修补。
?
相关:
示意图,与新闻事件无关。 图片来源: Facebook 福无双至、祸不单行。除了主管机关及法院外,本周脸书用户及股东分别对这家社交平台龙头违反资讯隐私政策及误导投资人提出集体控告。?脸书本周被爆出超过5000万笔用户
AI趋势周报第32期:IBM成立资料科学Elite团队,免费协助企业控管资料及加速导入AI
IBM在日前宣布,成立以资料科学为主轴的Elite团队,免费替企业提供咨询服务,帮助企业控管资料、加速导入AI技术。 图片来源: IBM 重点新闻(0316~0322)?WADA△?? AI分析 ?WADA将用AI帮助锁定禁药嫌疑运动员世界运动
内容提要:一块石头上竟然有上有六个人物,七个动物,一尊佛像,宝剑剑柄。与普通观赏石不同的是这些人物、动物图像清晰、轮廓分明,佛像不是看起来象佛祖,而是自身证明就是佛祖!这究竟是怎样一块神秘的石头?历时
脸书执行长祖克伯。示意图,与新闻事件无关。 图片来源: Facebook 在经过几天的神隐后,脸书执行长祖克柏(Mark△Zuckerberg)终于针对Cambridge△Analytica不当取得脸书5000万笔用户资料一事做出回应,文中提及在
IBM执行长:现在是人与机器结合的时代,要靠AI将数据现代化,更用区块链让资料可信任
【拉斯维加斯直击】IBM在美国拉斯维加斯一连四天举办年度大会Think△2018,是IBM有史以来最大的年度产品活动,超过34,000人参加。在第二天开场演讲中,IBM执行长Ginni△Rometty指出,现在正是25年来,科技和商业同时