BSI就卡巴斯基软件漏洞发出警告黑客只需发送恶意电子邮件

来源：cnBeta 　2019-05-15 11:10:14

德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告，建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息，但BSI警告说，黑客只需向其目标发送包含特制文件的恶意电子邮件，在某些情况下，甚至不需要打开该文件。

BSI警告的安全漏洞编号为CVE-2019-8285中，事实上是卡巴斯基上个月修复的。这个问题允许在易受攻击的电脑上远程执行任意代码，卡巴斯基说，只有4月4日之前发布的带有防病毒数据库的系统才会受到影响。

目前漏洞补丁已经通过卡巴斯基产品的内置更新系统发布，因此如果启用自动更新，用户设备应该是安全的。卡巴斯基在5月8日发布的一份咨询报告当中表示：“Kaspersky实验室在其产品中修复了一个安全问题CVE-2019-8285，可能允许第三方以系统权限远程执行用户PC上的任意代码。安全修复程序于2019年4月4日通过产品更新部署到卡巴斯基实验室客户端。”

卡巴斯基表示，从技术上讲，所有带有防病毒数据库的卡巴斯基产品都会受到该漏洞的影响。该漏洞与操作系统版本无关，因此所有Windows版本都会受到影响。此问题被归类为基于堆的缓冲区溢出漏洞。 JS文件扫描期间的内存损坏可能导致在用户电脑上执行任意代码。