微軟CTF協議曝出漏洞 影響Windows XP釋出以來的所有系統
Google Project Zero 安全團隊的研究員 Tavis Ormandy 報告,微軟鮮為人知的 CTF 協議存在漏洞,很容易利用,已在受害者計算機獲得立足之地的黑客或惡意程式可以利用該漏洞劫持任何 Windows 應用,接管整個作業系統。
CTF 代表什麼 Ormandy 沒有查到,它是 Windows Text Services Framework (TSF) 的一部分,該系統用於管理 Windows 或 Windows 應用程式內的文字展示。當使用者啟動一個應用,Windows 會啟動一個 CTF 客戶端,這個客戶端會從一個 CTF 伺服器接收有關作業系統語言和鍵盤輸入方法的指令。如果作業系統輸入方法從一種語言切換到另一種語言, CTF 伺服器會通知所有 CTF 客戶端,實時改變語言。
漏洞在於 CTF 伺服器和客戶端之間通訊是不安全的,沒有正確的身份驗證。攻擊者可以劫持另一個應用的 CTF 會話,偽裝成伺服器向客戶端傳送指令。如果應用執行在高許可權上,攻擊者可以控制整個作業系統。
漏洞影響到 XP 以來的所有 Windows 版本,不清楚微軟是否或何時會釋出補丁。
作者:solidot.org
相關文章
- 遠端桌面協議 CredSSP 出現漏洞,影響所有版本的 Windows協議Windows
- 微軟重大安全漏洞!影響所有Windows裝置微軟Windows
- Wi-Fi 網路 WPA2 加密協議曝巨大安全漏洞,影響所有裝置加密協議
- Windows系統曝新漏洞 微軟稱正被俄駭客利用Windows微軟
- UPnP協議CallStranger漏洞影響數百萬裝置協議Ranger
- 微軟釋出Windows 10!微軟Windows
- GeForce Experience曝出高危漏洞:NVIDIA緊急釋出更新
- 堪比 WannaCry !微軟面向Windows XP釋出緊急修復補丁微軟Windows
- 修復Windows漏洞 微軟預釋出11個補丁(轉)Windows微軟
- 微軟釋出Windows 10 Windows Defender中心微軟Windows
- 所有支援狀態Windows 10獲更新:緩解Spectre漏洞影響Windows
- 微軟釋出9月安全公告: win8/win10/win7等系統受影響微軟Win10Win7
- iOS曝ZipperDown漏洞 快手、陌陌等均受影響!iOS
- 微軟游標漏洞被駭客利用 緊急系統補丁終釋出微軟
- 救活被微軟封殺的Windows XP系統(轉)微軟Windows
- 微軟登入系統存在漏洞:使用者Office帳號受影響微軟
- 使用者抗議微軟釋出的補丁程式與系統存在衝突微軟
- PHP 5.5 正式版釋出 不再支援 Windows XPPHPWindows
- Adobe Flash曝出零日漏洞 微軟緊急發補丁微軟
- 基於QUIC協議的HTTP/3正式釋出!UI協議HTTP
- 專家:微軟拋棄XP 國內ATM不受影響微軟
- 開源元件漏洞影響多個 CMS 系統元件
- 微軟釋出Win10輕量級桌面系統環境Windows Sandbox微軟Win10Windows
- 微軟正式釋出2018 Windows 10更新四月版系統微軟Windows
- 微軟新版 Windows 11 Dev 22572 釋出!微軟Windowsdev
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- 微軟釋出重大安全憂患警告或影響全球9億使用者微軟
- Fedora 和 Ubuntu 曝出0day漏洞Ubuntu
- MySQL又曝出多個安全漏洞MySql
- 預計微軟將釋出Windows10 Cloud系統和Surface CloudBook平板電腦微軟WindowsCloud
- 快來升級了!蘋果釋出最新版系統,修復安全漏洞蘋果
- Windows XP作業系統安全漏洞大搜尋(轉)Windows作業系統
- xp_cmdshell---MSSQL系統漏洞SQL
- 眾至科技漏洞通告 | 微軟11月釋出多個安全漏洞微軟
- 影響 Linux 系統安全基石的 glibc 嚴重漏洞Linux
- 06年10月WINDOWS XP本月緊急補丁釋出Windows
- 微軟稱win10秋季更新將以來積累性補丁形式釋出微軟Win10
- 為教育市場使用者而造!微軟正式釋出Windows11SE系統微軟Windows