Windows又有新零時差漏洞DogWalk

這項漏洞尚無編號，但被研究人員暱稱為DogWalk。。在2年多之後，，說明是不同於Follina的MSDT漏洞。

Rad指出，它是一項路徑/目錄穿越（Path Traversal）漏洞，允許攻擊者將任何檔案，存在檔案系統任何地方，而且不會被檢查到。DogWalk漏洞開採可利用郵件傳送或連結誘使用戶從網路上下載惡意diagcab檔，這是一個Cabinet（CAB）檔案，包含診斷設定檔，可為實作MSDT的疑難排解工具（Troubleshooter）執行。研究人員提供的一個技巧是將檔案儲存在Windows「啟動」資料夾，等用戶下次登入時執行。

據微軟說法，Outlook及IE會封鎖.diagcab檔下載。研究人員測試，Gmail、微軟的Outlook Live或Mozilla Thunderbird。此外，Google Chrome、Firefox，甚至Microsoft Edge都未能封鎖這類檔案。研究人員還警告，在特定環境如公共Wi-Fi網路下，攻擊者可能利用中間人攻擊（man-in-the-middle），將用戶導向惡意網站。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

想知道最厲害的網頁設計公司嚨底家!

RWD（響應式網頁設計）是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗，所以不用擔心有手機版網站兩個後台的問題，而視覺效果也是透過我們前端設計師優秀的空間比例設計，不會因為畫面變大變小而影響到整體視覺的美感。

研究人員2年多前曾向微軟通報，並且展示以共享連結可從WebDAV伺服器下載Diagcab檔案的PoC。不過一如Follina，微軟也認為不是安全問題。微軟的解釋是，有許多檔案類型可藉此執行程式碼，但它並非「可執行檔」，且攻擊發生需要用戶主動執行.diagcab檔，不過Outlook已經能封鎖來自網際網路或其他地方的多種檔案，包括.diagcab。微軟指出會設法強化防護以避免用戶執行程式，但研究人員所提的問題並不是漏洞。

不管是不是一項「漏洞」，，Dogwalk危險之一在於，執行惡意程式的過程完全沒有任何警告顯示。

這個問題影響的Windows 版本包括Windows 7、Server 2008以後的產品，包括最新的Windows 11和Server 2022。

0Patch目前已免費提供針對多種Windows版本的暫時修補程式，。

來源鏈接：https://www.ithome.com.tw/news/151354

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站，提高曝光率!

以設計的實用美學觀點，規劃出舒適、美觀的視覺畫面，有效提昇使用者的心理期待，營造出輕鬆、愉悅的網站瀏覽體驗。

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢