🛡️ Windows 记事本曝出高危远程代码执行漏洞,CVSS 评分达 8.8
微软 Windows 内置的记事本(Notepad)应用程序近期被发现存在严重的远程代码执行(RCE)漏洞,其 CVSS 风险评分高达 8.8 分。该漏洞标志着这一拥有近三十年历史的简单文本工具因功能扩张而产生了重大的安全隐患。
漏洞的核心成因在于记事本近期引入的 Markdown 渲染支持及点击链接功能。根据微软安全响应中心(MSRC)的说明,攻击者可以诱导用户点击 Markdown 文件中的恶意链接,触发应用程序调用未经验证的协议,从而加载并执行远程服务器上的恶意文件。由于恶意代码在当前用户的安全上下文中运行,攻击者将获得与该用户同等的系统操作权限。
此次安全危机引发了关于软件“功能膨胀”的广泛讨论。记事本曾被视为遵循“最小权限原则”的纯文本处理工具,但随着网络感知渲染栈、AI(Copilot)集成以及复杂格式支持的加入,其攻击面显著扩大。目前,部分技术用户建议通过系统设置中的“执行别名”功能禁用新版记事本,以回退至功能单一但安全性更高的经典版本。
(HackerNews)
via 茶馆 - Telegram Channel
微软 Windows 内置的记事本(Notepad)应用程序近期被发现存在严重的远程代码执行(RCE)漏洞,其 CVSS 风险评分高达 8.8 分。该漏洞标志着这一拥有近三十年历史的简单文本工具因功能扩张而产生了重大的安全隐患。
漏洞的核心成因在于记事本近期引入的 Markdown 渲染支持及点击链接功能。根据微软安全响应中心(MSRC)的说明,攻击者可以诱导用户点击 Markdown 文件中的恶意链接,触发应用程序调用未经验证的协议,从而加载并执行远程服务器上的恶意文件。由于恶意代码在当前用户的安全上下文中运行,攻击者将获得与该用户同等的系统操作权限。
此次安全危机引发了关于软件“功能膨胀”的广泛讨论。记事本曾被视为遵循“最小权限原则”的纯文本处理工具,但随着网络感知渲染栈、AI(Copilot)集成以及复杂格式支持的加入,其攻击面显著扩大。目前,部分技术用户建议通过系统设置中的“执行别名”功能禁用新版记事本,以回退至功能单一但安全性更高的经典版本。
(HackerNews)
via 茶馆 - Telegram Channel
