Categories
科技報導

[图]Microsoft修復了遠程執行漏洞:可以通過iPhone視頻文件遠程控制PC



由於Microsoft操作系統處理HEVC文件的方式存在漏洞,使用Windows設備的iPhone用戶在瀏覽和編輯視頻文件時有遭受黑客遠程攻擊的風險。該漏洞是上週發現的,並存在於Microsoft的Windows Codecs庫中,該庫可以接管未修復的設備並執行遠程代碼。 美國網絡安全和基礎設施安全局在周五將威脅標記為“威脅”。

QQ屏幕截圖20201020080550.png

與大多數遠程攻擊媒介一樣,用戶通過打開特殊設計的有效負載(在這種情況下為HEVC映像文件)來觸發任意代碼執行。 Windows錯誤地處理了編解碼器並觸發了似乎是內存不足的錯誤,從而導致系統受到威脅並可能進行遠程接管。

正如國外媒體PC World指出的那樣,iPhone用戶特別容易受到Windows漏洞的影響,尤其是當前的移動版本嚴重依賴HEVC進行視頻錄製。 從iPhone 7開始,Apple提供了此編解碼器,它已成為iOS 11的標準高分辨率視頻文件格式。

此外,長期的iPhone用戶可能習慣於在線接收HEVC視頻附件或查看文件格式,並且從Microsoft Store手動下載HEVC或“來自設備製造商的HEVC”編解碼器的用戶也很容易受到攻擊。

微軟上週發布了該漏洞的補丁程序。 1.0.32762.0、1.0.32763.0和更高版本被認為可以安全使用,用戶可以從公司的在線商店下載它們。