cortana是微軟在windows 10系統中內置的人工智能助手，但近期發現其存在可被利用的漏洞，攻擊者可以通過該漏洞解鎖你的電腦。

在周二發布的最新補丁中，微軟發布了一項關鍵更新，旨在修復Cortana中一個容易被利用的漏洞，該漏洞可能使黑客能夠入侵鎖定的Windows 10系統并以用戶權限執行惡意指令。在最嚴重的場景下，如果黑客已經在目標系統上提升了權限，他們可能會完全控制系統。

該權限提升漏洞（CVE-2018-8140，由McAfee安全研究人員報告）是由于Cortana未能充分檢查輸入命令，導致代碼以較高權限執行。

微軟將此漏洞評級為“重要”，因為利用此漏洞需要攻擊者對目標系統進行物理訪問，并且目標系統必須啟用Cortana。

McAfee高級威脅研究團隊（ATR）的Cedric Cochin已發布該漏洞的技術細節，并提供了概念證明的視頻教程，展示了他如何通過Cortana重置密碼來劫持已經鎖定的Windows 10計算機。

視頻：看不到？點這里Cochin展示了三種不同的攻擊方法，展示了Cortana漏洞如何被用于各種惡意目的，如獲取機密信息，登錄鎖定設備甚至從鎖定屏幕運行惡意代碼。盡管微軟昨天發布了最新的安全更新補丁修復了這個漏洞，但許多PC尚未運行最新的更新。因此，McAfee建議用戶在鎖定屏幕上禁用Cortana以防止此類攻擊。

*參考來源：thehackernews，Covfefe編譯，轉載請注明來自FreeBuf.COM