微软记事本文本编辑器 存在代码执行的零日漏洞

谷歌旗下实验室的安全工程师塔维斯日前在推特上表示，他在微软的记事本文件编辑器中找到了某个零日漏洞。

实际上，在发布多年后微软都不曾对记事本程序做过更新，而去年夏天微软却破天荒的发布了一次记事本更新。

微软去年给记事本程序新增了编码支持以及使用鼠标滚动放大和缩小等，但安全专家就在其中发现了零日漏洞。

塔维斯向微软报告了这一问题，根据谷歌的漏洞政策，我们还需要等待90天之后，才能见到该漏洞的技术细节。

根据塔维斯在推特上展示的图片，该漏洞已经被利用来启动命令提示符，同时也预计漏洞是一个内存损坏漏洞。

塔维斯在推特中表示，虽然该漏洞已提交给微软，但微软起初并不认为这是一个漏洞，塔维斯提交了更多证据。

目前，我们暂时无法了解该漏洞的技术细节，未来90天后不管漏洞是否被修复，该漏洞的细节都将被自动公开。

比较好玩的是，正常情况下安全研究人员能在记事本里发现漏洞并不罕见，只是很多漏洞都会被悄悄的卖出去。

然而罕见的是，这位谷歌的安全工程师并没有卖掉漏洞而是报告给了微软，尽管微软不止一次的公开怼过谷歌。