有什么"gadget vulnerability"？

"小工具漏洞"是的问题

小工具面临的风险与任何基于网络的设备所面临的风险相同应用程序，例如中间人或代码注入。大多数web浏览器的早期版本都存在类似的问题，但现代浏览器已经专门实现了控制措施，试图缓解其中的许多问题。这些控制尚未在Gadgets平台中实现，这使得它们容易受到众所周知的、经过充分讨论的攻击
-我们有你的小工具，黑帽子

所以你可以看到，主要的漏洞是没有控制来限制小工具毫无限制地运行代码。

另一个问题：

微软表示，它发现一些Vista和Win7小工具不遵守安全编码规范，应该被视为导致对运行它们的系统的风险。

因此，运行任意代码确实是HTA的一部分，但因为侧边栏和小工具平台并没有缓解这种情况，而且非常悲观，认为所有小工具程序员都会编写安全的代码，不会试图利用或做小工具不应该做的事。

希望它能回答你的问题。

我仍然认为这个问题很模糊，因为你说：好吧，他们允许运行任意代码，这是模型和概念的一部分，但他们没有减轻它，那么漏洞是什么呢？它已经被利用了…-这就是整个想法：）

它可以被问及每一个缺陷和攻击，这正是问题所在——这是一个设计上的问题，不安全，因为没有缓解措施，而且你真的能够毫无问题地运行和执行恶意代码，所以发现这些小工具有缺陷。

同意，与用户执行未签名的应用程序相比，小工具平台似乎不太容易受到攻击。

为什么同样的系统级执行预防，启发式分析&其他应用于应用程序的方法无法应用于小工具，这让我感到困惑。

这有点像微软的懒惰：小工具平台没有得到高度重视或广泛使用（尽管它有可能提供前所未有的能力，并将网络功能直接集成到桌面上），所以他们没有试图保护用户免受恶意小工具的侵害，而是简单地停止了它们。

随着Windows、Mac和Android用户界面的发展方向，普通用户对应用程序（或插件）的实际操作方式越来越不了解，因此不必要的、机会主义的甚至恶意的应用程序仍在继续。我一直在讨论Gadgets规范，据我所知，它并不比Chrome和FireFox使用的插件系统更不安全。

ActiveX和Java在小工具中的执行受Internet Explorer中的"安全"设置的约束。如果你的安全设置允许小工具做一些事情，那么这些功能中的大多数在插件或Java应用程序中也是可以利用的。

我读到的分析师报告表明，这些漏洞已经在"大多数现代浏览器"中进行了修补，但Internet Explorer显然不是这样，因为我看到的每一个小工具漏洞都可以在IE浏览器中运行。

简而言之，这是ActiveX、Java和其他插件的"切换开关"风格的处理。微软试图避免用户无休止的提示，并消除做出知情决定的要求，从而继续让不知情或粗心的用户对恶意网络应用程序和插件敞开大门。

信任证书&安全补丁会比中止该功能要好得多。

在我看来，我认为安全问题是烟幕弹。这些"安全问题"存在于许多载体和小工具中，如果它们是这样的问题，早在Windows 8发布之初就会得到解决。我的观点是，这些小工具被抛弃是因为它们会消耗Windows 8平板电脑的电量。这让我想起了当我认为微软真的在计划触摸界面时，ribbon界面是如何"暴露深层次的功能"的。所以，无论微软为做某事提供什么"借口"，我都倾向于寻找更深层次的目的。希望这种情况会随着新的管理层而改变。有人知道是否可以在Windows 8.1上安装某种小工具平台吗？谢谢

这些攻击是以这种方式发生的：

1. 攻击者必须说服用户安装并启用易受攻击的小工具
2. 成功利用Gadget漏洞的攻击者可以获得与登录用户相同的用户权限。如果用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序；查看、更改或删除数据；或者创建具有完全用户权限的新帐户

正如你所看到的，如果你安装了一个易受攻击的小工具，这很简单，现在告诉我谁授权你的小工具？在狂野的网络世界里有许多假冒的小玩意儿。。小心。

微软也有一个修补程序，可以禁用侧边栏和小工具，你可以在这个链接中找到：微软咨询

他们杀死了windows 8中的小工具和侧边栏。

我们有你的小工具-黑帽（pdf文件）