Google和微軟一直互懟已經不是什么新聞了,不過對于普通的用戶來說,兩家公司的競爭才更能更有利于消費者。Canthink網絡安全攻防實驗室就一直致力于尋找Windows的各種漏洞,而且每次找到后,都是直接將這些發(fā)現(xiàn)公之于眾,搞得微軟很是狼狽。
這不就在本月的15號,新曝出了預裝在Windows 10的密碼管理器中發(fā)現(xiàn)漏洞,該漏洞可能會導致用戶設置的密碼泄漏,從而讓黑客遠程竊取用戶的登錄憑證。
Windows 10預裝的密碼管理器就是Keeper,Keeper是面向企業(yè)和個人的領先密碼安全管理程序和數(shù)字保管庫。
從Windows10 版本 1607(也稱為周年更新) 開始,微軟就在其操作系統(tǒng)中增加了一項名為Content Delivery Manager的新功能,該功能會悄悄地安裝最新的“建議應用程序”,而不會通知用戶。而Keeper就是在這樣的情境中被安裝在用戶的電腦上的,要是我不說估計還有許多用戶不知道有此應用,其實說實話我起初也不知道,還是幾個月前Reddit的幾個用戶向我介紹了他們的新發(fā)現(xiàn)。
為了驗證他們的發(fā)現(xiàn),我在MSDN官網鏡像下載了Windows 10最新系統(tǒng),并創(chuàng)建了一個完全的虛擬運行環(huán)境。結果證明在默認情況下,我的設備已經安裝了名為Keeper的密碼管理器。
解釋說:
“這是微軟的捆綁銷售,他們可能與Keeper達成了某種交易。”
在發(fā)現(xiàn)該問題后,Ormandy決定測試一下Keeper密碼管理器是否有漏洞,如果有能夠進行怎樣的攻擊?
經過幾次測試之后,Ormandy在密碼管理器中發(fā)現(xiàn)了一個嚴重的漏洞,而且攻擊者可以利用這個漏洞完全破壞Keeper的安全性。由于Keeper的密碼和系統(tǒng)的遠程根的訪問密碼是共享的,所以該漏洞就允許黑客竊取用戶所登錄過網站的所有憑證。
其實,本次所發(fā)現(xiàn)的Keeper漏洞和他在2016年8月所發(fā)現(xiàn)的Keeper漏洞非常相似,當時惡意網站就已經可以使用該漏洞就來竊取用戶登錄憑證。不過當時Keeper還沒有在微軟的捆綁銷售中,用戶如果要用還要單獨安裝。
另外,發(fā)布了一個利用該漏洞盜取Twitter登錄憑證的演示視頻,并說到:
“Keeper密碼管理器,不但沒有起到任何防護效果的,而且還能讓黑客盜取你的密碼。”
其實在15號曝出這個新聞之前,就已經給了微軟90天進行更新的時間。
不過截止目前微軟還沒有任何行動,用的話來說,他是迫不得已才公開這些發(fā)現(xiàn)的,以便督促微軟加快更新速度。
其實,他這樣說并不是沒有道理,因為2015年 Ormandy 曾發(fā)文指出,微軟的虛擬DOS機(VDM)中存在一個漏洞,非特權用戶可以將代碼直接注入系統(tǒng)內核,可能改變操作系統(tǒng)高度敏感的部分,從而完全控制系統(tǒng)。而這個漏洞是1993年7月Windows NT首次引入的,已經存在17年了。據(jù)Ormandy說,2009年6月他就已經將這個安全漏洞告知了微軟了,也就是說微軟在得到提醒之后的6年中還是什么也沒有做。
不過本次,微軟在Ormandy的帖子發(fā)布后不久就很快表了態(tài),并解釋說:
“這個問題是第三方應用程序也就是Keeper的問題,我們已經通知了開發(fā)商,要求他們盡快修補此漏洞。”
Keeper公司也已經確認了這個漏洞,并且發(fā)布了11.4版本來更新解決該漏洞。
該公司表示:
“建議沒有升級到最新版本的用戶,先不要使用Keeper進行密碼管理。因為這個潛在的漏洞會要求Keeper用戶在登錄到瀏覽器時,把他們重定向到惡意網站,然后通過使用‘clickjacking’技術來欺騙用戶輸入登錄憑證。”
盡管這不是微軟產品本身的問題,但也間接地暴露了微軟產品推廣時所使用的手段,而這種方式很容易造成用戶在不知情的情況下,信息被泄露。
雖然Keeper被預先安裝了進來,不過用戶也可以將其卸載禁用這個應用,這可以通過注冊表設置來完成。
據(jù)透露,從4月11日開始,微軟將全球同步開始分批推送他們對Win10系統(tǒng)的第四次大更新,這套以“創(chuàng)意性”為主題的更新里包含了若干重要的功能變化:3D畫圖、游戲模式、小窗口模式等等。
按照微軟分片分批推送的尿性來看,很可能我們得等個十天半個月才收到更新,那都是非常正常的。所以在這里,黑科技君特地提前偷跑給大家展示一下相關更新內容,老鐵們喜歡的話請點一波關注,謝謝這位大哥送的游艇~。
小娜變話癆,全程叨逼叨
打更新時刻起,小娜再也不是那個“矜持”的姑娘了!不僅更新過程中不斷發(fā)聲“撩撥”你來指導操作過程,更新之后也顯得有點不安分。即使你不用她,她也經常自己跳出來秀一把中文,你可以用語音與它對話進行一些簡單的設置步驟。
對小白用戶來以及盲障人士來說,小娜簡直是福音。不過老鳥們還是火速點擊屏幕右下角的關閉聲音按鈕吧,小心被小娜姑娘煩死。
更細節(jié)的小操作
開始菜單增加了默認程序的數(shù)量,而且當你拖動一個程序到另一個程序上面的時候,兩個程序會自動組成一個文件夾,這個設計可能是跟隨用戶對手機系統(tǒng)的使用習慣,在Windows系統(tǒng)上還是頭一回。當你點擊這種文件夾的時候,內部的程序會自動彈出與其他程序并列擺放,也與手機上相似。
視頻小窗播放,確定不是為了變工作邊看劇?
視頻小窗口播放功能或許是相對更實用的更新。微軟官方的描述是“工作效率大增”,不過我想問,微軟的工程師大大你確定這不會成為上班追劇的神器?
一大波預裝內置應用,什么叫TM的創(chuàng)意!
本次更新名為“創(chuàng)意者更新”,其核心要點就是這套新系統(tǒng)能讓你成為創(chuàng)意者!所以在系統(tǒng)當中,你會看到很多前所未見的預裝應用。
名揚四海的Candy Crush Soda Saga,中文名叫《糖果粉碎蘇打傳奇》是一款三消類游戲,早前有就這款小游戲會預裝到Win10創(chuàng)意者更新當中的消息,如今看來,成真了!
Keeper Password Manager,非常知名的密碼管理工具,平時生活中那么多密碼你都記得過來嗎?微軟集成這款軟件,無疑將提高密碼使用效率。
微軟的經典紙牌游戲重出江湖!不僅視覺效果完全變了,而且支持Xbox Live。
Music Maker Jam,這款軟件讓你可以在Win10上面更輕松的創(chuàng)作音樂,使一些小白也能成為BGM達人,不過軟件有內購付費。
在發(fā)布會上著重介紹的MINECRAFT游戲,同樣支持Xbox Live,解鎖完整版游戲需要內購付費。
這款名叫Phototastic Collage的軟件,能幫你快速制作創(chuàng)意照片,你可以理解為微軟版“美圖秀秀”。
發(fā)布會上著重介紹的畫圖3D功能,黑科技君也不是藝術家...就不演示了。
View 3D,可以打開并觀看網上提供的簡單3D素材,目前用處比較有限,未來可能更適合設計師之間的交流。
Xbox Live套件以及游戲直播。發(fā)布會中著重介紹的東西,不知道微軟能不能趕上游戲直播這股熱風。
設置菜單變化更多
新版Win10的設置菜單,大項從9個變成了11個,多了應用板塊和游戲板塊,再次印證了應用對創(chuàng)意的重要性,以及游戲在微軟戰(zhàn)略布局上的重要意義。應用板塊單獨將所有的應用放入其中,用戶可以在這兒進行統(tǒng)一的調配。游戲板塊提供了各種游戲欄的快捷方式,包括錄制,截圖等。還有“游戲模式”,這個就很實用了,開啟之后電腦會將資源重新分配,供給游戲輸出!
安全方面也有新進步
護眼防藍光的夜燈模式,讓屏幕發(fā)黃,減少藍光輸出,雖然護眼,但你愿意忍受黃呼呼的屏幕嗎?
家長監(jiān)護功能,堪稱“熊孩子克星”,密探家長的好幫手。家長可以選擇孩子能使用的程度,還可以對孩子行為進行監(jiān)控。。。
怎么樣,看完了這些,你有沒有對這次更新有了一些期待?