当前位置:首页-正文

Windows 7和8.1中的文件名漏洞可引发系统直接崩溃

近期有安全人员在Windows 7 和 8.1中发现了比较奇怪的问题,某些特殊的文件名称可以引起系统直接崩溃。

问题出现的原因在于Windows系统本身有许多特殊文件名,这些文件名仅仅代表硬件设备名称而非真实文件。

Windows系统内置的策略是检测到对应的设备名称后直接读取,读取后在系统里就可以看到我们接入的设备。

但若某个文件名同时包含对两个硬件设备的引用那么系统将出现异常, 正常情况下是不会出现同时引用两个。

Windows 7和8.1中的文件名漏洞可引发系统直接崩溃

漏洞利用方式:

事实上只需要简单的修改文件名称即可直接触发这个漏洞, 直接将修改后的文件加上图片后缀放到网页即可。

当用户使用浏览器浏览网页时会自动加载网页上的图片文件到Windows系统本地的缓存目录/Temp/中存储。

当浏览器将该图片加载到本地时就会触发这个漏洞,因此只需要诱导用户点击对应的网页即可完成这个攻击。


微软公司目前已经确认Windows 7和Windows 8.1系统存在该漏洞,同时 Windows 10 系统是不受影响的。

不过微软并没有透露具体什么时间会发布修复这个漏洞,因此对于用户而言暂时是不要点击乱七八糟的网页。

恶作剧式攻击:

即使攻击者成功触发这个漏洞至多也只能让系统锁定或者蓝屏,因此攻击并不会引发更具危害性的攻击后果。

而这类漏洞通常会出现在某些专门用于恶作剧的网站上,这类网站本身是无害的但基本都是好友主动坑好友。

当你的好友给你发来恶作剧网站的链接时你打开就可能系统挂掉,所以说还是不要轻易打开陌生的网站为好。

本文来源Habrahabr,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。

相关文章

换一批