VirusTotal 的研究人員 Quintero 兩年前發現： windows 的 .msi 安裝檔案格式在開發者完成數位簽章之後，後面還可以添增其他資料，例如惡意的 .jar 內容。 結果當這個檔案被改名為 .jar 之後，它依舊被系統認定為可信任的檔案，而讓攻擊者成功入侵。 詭異的是：Quintero 私下通知微軟，隔一段時間後也於 2019年一月貼文詳述，但微軟卻遲遲不肯處理，直到最近才修補這個漏洞。 (從這樣的態度看來，我覺得這應該可以算是另一個微軟後門了) Microsoft Put Off Fixing Zero Day for 2 Years

Aug 18, 2020 05:22AM

VirusTotal 的研究人員 Quintero 兩年前發現： windows 的 .msi 安裝檔案格式在開發者完成數位簽章之後，後面還可以添增其他資料，例如惡意的 .jar 內容。結果當這個檔案被改名為 .jar 之後，它依舊被系統認定為可信任的檔案，而讓攻擊者成功入侵。詭異的是：Quintero 私下通知微軟，隔一段時間後也於 2019年一月貼文詳述，但微軟卻遲遲不肯處理，直到最近才修補這個漏洞。 (從這樣的態度看來，我覺得這應該可以算是另一個微軟後門了)

Microsoft Put Off Fixing Zero Day for 2 Years