微軟CTF協議曝出漏洞 影響Windows XP釋出以來的所有系統
Google Project Zero 安全團隊的研究員 Tavis Ormandy 報告,微軟鮮為人知的 CTF 協議存在漏洞,很容易利用,已在受害者計算機獲得立足之地的黑客或惡意程式可以利用該漏洞劫持任何 Windows 應用,接管整個作業系統。
CTF 代表什麼 Ormandy 沒有查到,它是 Windows Text Services Framework (TSF) 的一部分,該系統用於管理 Windows 或 Windows 應用程式內的文字展示。當使用者啟動一個應用,Windows 會啟動一個 CTF 客戶端,這個客戶端會從一個 CTF 伺服器接收有關作業系統語言和鍵盤輸入方法的指令。如果作業系統輸入方法從一種語言切換到另一種語言, CTF 伺服器會通知所有 CTF 客戶端,實時改變語言。
漏洞在於 CTF 伺服器和客戶端之間通訊是不安全的,沒有正確的身份驗證。攻擊者可以劫持另一個應用的 CTF 會話,偽裝成伺服器向客戶端傳送指令。如果應用執行在高許可權上,攻擊者可以控制整個作業系統。
漏洞影響到 XP 以來的所有 Windows 版本,不清楚微軟是否或何時會釋出補丁。
作者:solidot.org
相關文章
- 遠端桌面協議 CredSSP 出現漏洞,影響所有版本的 Windows協議Windows
- 微軟重大安全漏洞!影響所有Windows裝置微軟Windows
- 堪比 WannaCry !微軟面向Windows XP釋出緊急修復補丁微軟Windows
- 微軟正式釋出2018 Windows 10更新四月版系統微軟Windows
- GeForce Experience曝出高危漏洞:NVIDIA緊急釋出更新
- 微軟新版 Windows 11 Dev 22572 釋出!微軟Windowsdev
- UPnP協議CallStranger漏洞影響數百萬裝置協議Ranger
- 微軟釋出Win10輕量級桌面系統環境Windows Sandbox微軟Win10Windows
- 微軟登入系統存在漏洞:使用者Office帳號受影響微軟
- 所有支援狀態Windows 10獲更新:緩解Spectre漏洞影響Windows
- 戴爾預裝軟體曝出安全漏洞
- 微軟釋出重大安全憂患警告或影響全球9億使用者微軟
- 微軟釋出基於ARM晶片的Windows 10的Java OpenJDK微軟晶片WindowsJavaJDK
- iOS曝ZipperDown漏洞 快手、陌陌等均受影響!iOS
- 眾至科技漏洞通告 | 微軟11月釋出多個安全漏洞微軟
- 微軟釋出Windows Server vNext預覽版Build 18965微軟WindowsServerUI
- 微軟正式釋出Windows 10 2020年10月更新微軟Windows
- 為教育市場使用者而造!微軟正式釋出Windows11SE系統微軟Windows
- 微軟宣佈解除軟體限制:不再影響upate系統更新微軟
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- 微軟釋出Windows10 Build 18267更新內容大全微軟WindowsUI
- 微軟將在明年5月釋出Windows 10 Version 2004微軟Windows
- 精簡 Windows 系統可能會帶來以下影響和危害:Windows
- 基於QUIC協議的HTTP/3正式釋出!UI協議HTTP
- 微軟釋出釋出Windows 10補丁KB4516421 修復麥克風Bug問題微軟Windows
- 又來了?曝微軟下月將著手開發 Windows 12微軟Windows
- 開源元件漏洞影響多個 CMS 系統元件
- 微軟曝SMBv3零接觸遠端漏洞,影響Win10使用者,請儘快修復微軟Win10
- Linux 曝出 TCP 拒絕服務漏洞LinuxTCP
- 微軟正式釋出 Azure IoT Central微軟
- 微軟正式釋出Azure Functions 2.0微軟Function
- 微軟最爽命令列工具釋出!微軟命令列
- 微軟下週將釋出三個補丁仍有漏洞未修復微軟
- 修復3個9.8分漏洞,微軟釋出12月累積更新微軟
- 微軟正式釋出Windows 10 19H1首個SDK 18272微軟Windows
- 微軟釋出Win10 Build 19025:優化Windows搜尋功能微軟Win10UI優化Windows
- 微軟釋出Windows 10 20H2更新已知問題列表微軟Windows
- 微軟 Win11/10 Linux 子系統 WSL 1.0.0 正式版釋出微軟Linux