IT之家6月19日消息微软Windows10自创意者更新开始引入Paint3D,希望能帮助大家带来新创意体验,但事实证明,功能性和安全性值得同等重视。在ZDI研究人员发现3D建模软件中存在远程代码执行漏洞后,该应用程序实际上会对您的系统健康构成威胁。6月19日消息微软Windows10从创意者更新开始就引入了Paint3D,希望能帮助大家带来全新的创作体验,但事实证明,功能性和安全性需要并重。在ZDI研究人员发现3D建模软件中存在远程代码执行漏洞后,该应用程序实际上会对您的系统健康构成威胁。该错误是通过探索发现的,要求用户加载损坏的文件,现在已被微软在最新的周二补丁中修复。该问题被描述为CVE-2021-31946,内容如下:MicrosoftPaint3DGLB文件解析越界读取远程代码执行漏洞该漏洞可能允许远程攻击者在受影响的MicrosoftPaint3D安装中执行任意代码.利用此漏洞需要用户交互,因为目标必须访问恶意网页或打开恶意文件。特定缺陷存在于GLB文件的解析中。问题是由于缺乏对用户提供的数据的适当验证,这可能导致读取超过分配的数据结构的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行完整性较低的代码。IT之家获悉,该漏洞的严重性为中等,因为它需要攻击者提升他们在您系统上的权限。微软已经发布了修复该问题的软件更新,但Windows11用户无需担心,因为操作系统不再预装该软件。
