6 月 19 日消息 微軟 Windows 10 從創意者更新版本開始引入了 Paint 3D,希望幫助大家帶來新的創意體驗,但事實證明,功能和安全需要同等重視。在 ZDI 研究人員發現 3D 建模軟件存在遠程代碼執行漏洞后,該應用實際上也對你的系統健康造成了威脅。
該漏洞是通過探索發現的,需要用戶加載一個被破壞的文件,現在微軟已經在最新的星期二補丁中進行了修復。
該問題被描述為 CVE-2021-31946,內容如下:
Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution 漏洞
該漏洞允許遠程攻擊者在受影響的 Microsoft Paint 3D 安裝中執行任意代碼。利用該漏洞需要用戶互動,因為目標必須訪問一個惡意網頁或打開一個惡意文件。
具體的缺陷存在于 GLB 文件的解析過程中。該問題是由于缺乏對用戶提供的數據的正確驗證,這可能導致讀取超過分配的數據結構的末端。攻擊者可以利用這個漏洞,在當前進程的上下文中以低完整性執行代碼。
IT之家獲悉,該漏洞的嚴重程度為中等,因為它要求攻擊者已經在你的系統上提升了他們的權限。
微軟已經發布了該軟件的更新,修復了這個問題,但 Windows 11 用戶不必擔心,因為該軟件已經不會再預裝在該操作系統中。
