尽管有补丁，但流行的VPN仍包含代码执行安全漏洞

研究人员发现了流行的虚拟专用网络（VPN）软件ProtonVPN和NordVPN中的漏洞，这些漏洞可能会导致攻击者执行任意代码。一份报告称：上周，思科Talos安全研究人员表示，安全漏洞CVE-2018-3952和CVE-2018-4010允许攻击者在Microsoft Windows机器上执行代码。这些漏洞类似于VerSprite发现的Windows权限升级安全漏洞，该漏洞被追踪为CVE-2018-10169。两个客户都在4月份应用了安全补丁来解决原来的安全问题，但根据Talos的说法，“尽管已经修复，仍然可以作为系统管理员执行代码。” 最初的漏洞是由两个客户端中的类似设计问题引起的。NordVPN和ProtonVPN的接口在登录用户的许可下执行二进制文件，这包括选择VPN配置选项，例如所需的VPN服务器位置。当通过OpenVPN配置文件单击“connect”时，此信息将发送到服务。但是，VerSprite能够创建一个精心设计的OpenVPN文件，该文件可以发送到服务，加载和执行。