該漏洞編號(hào)為CVE-2021-31946，相關(guān)描述如下

Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability

該漏洞允許遠(yuǎn)程攻擊者在受影響的Microsoft Paint 3D安裝中執(zhí)行任意代碼。利用該漏洞需要用戶互動(dòng)，目標(biāo)必須訪問一個(gè)惡意網(wǎng)頁或打開一個(gè)惡意文件。

具體的缺陷存在于 GLB 文件的解析過程中。該問題是由于缺乏對用戶提供的數(shù)據(jù)的正確驗(yàn)證，這可能導(dǎo)致讀取超過分配的數(shù)據(jù)結(jié)構(gòu)的末端。攻擊者可以利用這個(gè)漏洞，在當(dāng)前進(jìn)程的上下 文中以低完整性執(zhí)行代碼。

微軟已經(jīng)發(fā)布了該軟件的更新，修復(fù)了這個(gè)問題，但Windows11用戶不必?fù)?dān)心，因?yàn)樵撥浖呀?jīng)不再預(yù)裝在該操作系統(tǒng)中。

關(guān)鍵詞： Paint 3D遠(yuǎn)程代碼 微軟 補(bǔ)丁修復(fù)