https://blog.qife122.com/tags/shellexecute/ Recent content in ShellExecute on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Sep 2025 14:12:32 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90ms10-007%E6%BC%8F%E6%B4%9Eshellexecute-api%E7%9A%84%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3%E4%B8%8E%E5%BC%80%E5%8F%91%E8%80%85%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ Wed, 10 Sep 2025 14:12:32 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90ms10-007%E6%BC%8F%E6%B4%9Eshellexecute-api%E7%9A%84%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3%E4%B8%8E%E5%BC%80%E5%8F%91%E8%80%85%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ <h1 id="ms10-007开发者的额外信息与建议">MS10-007：开发者的额外信息与建议</h1> <p>今天，我们发布MS10-007以解决一个通常适用于ShellExecute API的URL验证问题。</p> <h2 id="恶意用户如何利用此漏洞">恶意用户如何利用此漏洞？</h2> <p>此问题涉及ShellExecute如何处理看似合法但格式错误以致导致任意代码执行的字符串。多种技术使用ShellExecute来启动浏览器导航。如果传递给ShellExecute的参数“看起来像URL”，则假定该操作是安全的。似乎有理由预期，如果一个字符串是有效的URL，它在由ShellExecute处理时不可能导致任意代码执行。</p>