当微软试图为其windows10游戏商店带来更多价值时,不幸的是,该公司忽视了这个过程中的一个关键缺陷。一个漏洞允许黑客使用从Windows应用商店下载的游戏在某人的电脑上获得更高的权限,但修复程序已经可用。
这个漏洞是由IOActive实验室发现的,他们早在6月份就发现了这个漏洞。此后,微软发布了一个修补程序,修复了这个漏洞,这意味着IOActive可以在黑客不使用这些信息的情况下公开揭露这个漏洞。
IOActive实验室在微软向其windows10游戏商店推送新的更新时发现了这个漏洞。这个更新允许用户下载和安装mods,定制游戏的运行和外观。
IOActive实验室的一位研究人员对微软如何允许安装mod很感兴趣。过去,从微软商店下载的游戏往往是在沙盒环境中运行的,因此用户必须通过额外的限制才能在游戏中运行mod。微软是如何让这个过程如此简单的?
事实证明,可修改的游戏要求操作系统提升权限。因此,研究人员开始摆弄游戏是如何安装的,看看他们是否可以利用这个更高的权限。
果然,经过一些调整后,研究人员使用游戏安装创建了一个在特殊系统级别上运行的shell,即使受害者的用户权限通常不允许这样做。这样,攻击者就可以删除或覆盖原本无法触及的文件。
幸运的是,这个漏洞是由研究人员而不是黑客发现的。如果一个研究人员首先到达那里,他们往往会找出漏洞是如何工作的,然后秘密地通知开发人员。
黑客将积极利用该漏洞,直到它被修补,保持对开发人员的方法是秘密的。这是特别危险的,因为黑客可以滥用漏洞未经检查,直到开发人员发现并介入
因此,由于该漏洞自被发现以来一直被蒙在鼓里,黑客自己使用该漏洞的可能性很小。在MRSC门户网站上,Microsoft将该漏洞列为概念验证攻击,没有证据表明该漏洞已泄露到公共知识中。
如果您仍然有点担心此漏洞,请继续运行Windows Update以获取所有最新的安全修补程序。微软已经修复了这个漏洞,所以保持你的电脑更新,你的电脑也保持安全。
如果您愿意,可以进一步管理Windows更新,使其按您所希望的方式运行。如果您关闭了Windows更新,因为它往往会让您在忙碌时感到烦恼,那么值得一看的是,您可以如何根据自己的需要定制它,而不是延迟重要的安全修补程序。
虽然Windows应用商店漏洞攻击听起来相当可怕,但您已经拥有了保护自己免受威胁所需的一切。随时更新你的电脑,这样你就可以从微软获得所有最新的安全补丁,即使是那些别人还不知道的威胁!
如果你需要更多的证据证明保持你的电脑更新是个好主意,你只需要回顾一下微软2020年8月的更新。这次更新压制了超过120个漏洞,其中17个被列为“关键”
编辑学分:YMDerman/Shutterstock.com网站
...独立的台式机都没有它,这些都是有问题的——特别是当安全漏洞被修补时,除非你访问应用程序的网站,否则你无法知道。 ...
...些软件,但微软在几年后就把它们淘汰了,因为它们含有安全漏洞。另外,随着windows8及其现代应用程序的推出,livetiles几乎取代了桌面小工具。 ...
...此功能可能会打开恶意内容。如果你对从合法应用程序中发现假冒应用程序的能力没有信心,那么最好选择在从商店外安装应用程序之前警告我,而不是允许从任何地方安装应用程序。 ...
...题。它到处都是骗局和模仿产品,看似无害的应用程序被发现藏有恶意软件,请求权限的列表常常失控。 ...
...划被称为谷歌游戏安全奖励计划(GPSRP)。谷歌邀请安全研究人员和应用程序开发人员参与。第一步是填写申请表加入该计划。一旦获得批准,您可以在Play Store上的任何符合条件的应用程序中查找安全问题。 ...
... 应用程序:你会发现商店版的流行应用程序,如iTunes和VLC,以及微软商店独有的应用程序。 游戏:除了像你在智能**上看到的休闲游戏外,微软商店还有许多与Xbox One交叉兼...
...什么应该上传到应用商店和什么不应该上传到应用商店,微软和苹果之间进行了很多讨论。似乎是为了回应苹果的限制性规定,微软发布了自己的应用商店原则,允许苹果过去限制的服务。 ...