現在的遊戲鼠标都會提供驅動軟件,用于對燈光、參數、按鍵宏等進行設置。可是最近有玩家發現在安裝雷蛇鼠标時啟動的安裝軟件會意外地讓用戶可以讓他們使用标準的非管理員賬号登錄時以系統級别訪問 Windows 的文件浏覽器。
當任何新的 USB 設備插入運行 Windows 系統的電腦時,該設備會臨時獲得系統級别的訪問權限(這是 Windows 用戶層次結構中的最高權限級别),因此驅動程序可以安裝在 Windows 文件夾中。這通常是一個不涉及用戶的後台進程。
但是,首次插入雷蛇鼠标會打開 Razer Synapse 軟件的安裝程序,讓用戶可以選擇安裝軟件的位置。
如果用戶選擇更改默認安裝位置,該軟件将打開一個文件資源管理器窗口,讓他們選擇一個新的安裝文件夾。
但是,由于此窗口是在安裝過程中打開的,因此該軟件仍具有系統級權限,這意味着用戶在技術上具有管理員訪問權限。
通過在此窗口上按住 Shift 鍵右鍵點擊,用戶可以打開一個 Windows Powershell 窗口,這為他們提供了一個具有完全管理員權限的命令行窗口。
在 PC 上具有管理員訪問權限的用戶可以完全控制 PC 的軟件和設置。他們可以訪問 PC 上的所有文件、更改安全設置以及安裝軟件和硬件。
理論上最壞的情況下,擁有雷蛇鼠标的人可以使用此變通方法在未得到适當保護的 PC(網吧、辦公室、朋友的電腦)上安裝惡意軟件或間諜軟件(例如鍵盤輸入記錄軟件)。
在發現這一漏洞幾天後,雷蛇已與發現漏洞的玩家取得聯系,并告訴他其安全團隊正在“盡快修複”。但是,其他用戶此後在其他帶有安裝軟件的 USB 硬件中發現了類似問題,例如遊戲硬件公司賽睿的軟件,因此看來這是一個系統安全漏洞,可能需要由微軟自己解決。
·END·
,
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
