Google研究人員發現微軟記事本漏洞

谷歌抓蟲大隊Google Project Zero研究員Tavis Ormandy上周在Twitter上揭露，他發現了微軟Windows作業系統內建的記事本（Notepad）含有一記憶體毀壞（memory corruption）漏洞，允許駭客將記事本變成遠端存取殼層，進而入侵作業系統。

跟隨著Windows 1.0於1985年誕生的記事本，一直是Windows內建的純文字編輯程式，它的介面及功能很簡單，也方便使用，最常用的檔案格式為.txt。

Ormandy並未公布漏洞細節，只說這是個真正的記憶體毀損漏洞，已經通知了微軟安全團隊，並給予微軟90天的修補期限，若微軟一旦修補，或者是90天的期限到了，他便會詳細說明。

網路安全業者White Ops創辦人Dan Kaminsky向MSPoweruser透露，記事本的攻擊表面很少，沒想到還是能讓駭客取得執行任何程式的能力。

不過，專門收購零時差漏洞與攻擊程式的Zerodium創辦人Chaouki Bekrar也在自己的Twitter上回應了此事，他說Ormandy並不是第一個找到開採記事本方式的研究人員，但可能是第一個知會微軟的人。