McAfee发现Windows 10 Cortana的一个新...

McAfee近期宣布他们在Windows 10的Cortana数字助理中发现一个新漏洞:可以获得锁定后的系统的物理访问权限。

McAfee实验室的高级威胁研究团队第一时间向微软做了通报,被发现的新漏洞已作为微软8月更新一部分得到解决。

据悉,使用Cortana锁定的Windows 10设备,允许具有物理访问权限的攻击者,在设备上进行两种未经授权的浏览。

McAfee发现Windows 10 Cortana的一个新漏洞

一个是强制Microsoft Edge导航至特定的虚假URL;另一个是使用受保护的受害者凭据使用首先版本的IE 11浏览器。

第一种情况下Cortana的权限提升能导致锁屏上的强制导航,攻击者不能解锁设备,却不影响具有物理访问权限的人。

这就意味着具备物理访问权限的人,可以强制Microsoft Edge浏览器在设备锁定的情况下,导航到攻击者指定的页面。

McAfee发现Windows 10 Cortana的一个新漏洞

这期间,攻击者只需要通过简单的语音指令、触屏和鼠标交互等就能实现攻击,而不需要复杂的中间人或流氓 Wi-Fi。

研究人员同时发现,攻击者可以通过IE浏览器引擎实现访问和导航,甚至是JavaScript 和Cookie都可以一起来使用。

攻击者利用该漏洞可在设备锁定的情况下,通过其他用户的设备在网络上发表评论,或者利用已缓存凭证冒充他人。

文章来源:栋科技
版权链接:McAfee发现Windows 10 Cortana的一个新漏洞
正文到此结束

热门推荐

发表评论

    avatar
    • 嘻嘻 大笑 可怜 吃惊 抛媚眼 调皮 鄙视 示爱 哭 开心 偷笑 嘘 奸笑 委屈 抱抱 怒 思考 流汗
    0
    努力提交中...