微軟的Paint 3D應用程序自推出以來並不受消費者的歡迎，而且ZDI研究人員還發現這款3D建模軟件存在遠程代碼執行漏洞，可能會對你的系統健康產生負面影響。該漏洞是通過搜索發現，需要用戶加載一個被破壞的文件。在本月的補丁星期二活動日中已經修復了這個問題。

該漏洞編號為CVE-2021-31946，相關描述如下

Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability

該漏洞允許遠程攻擊者在受影響的Microsoft Paint 3D安裝中執行任意代碼。利用該漏洞需要用戶互動，目標必須訪問一個惡意網頁或打開一個惡意文件。

具體的缺陷存在於GLB 文件的解析過程中。該問題是由於缺乏對用戶提供的數據的正確驗證，這可能導致讀取超過分配的數據結構的末端。攻擊者可以利用這個漏洞，在當前進程的上下文中以低完整性執行代碼。

微軟已經發布了該軟件的更新，修復了這個問題，但Windows 11用戶不必擔心，因為該軟件已經不再預裝在該操作系統中。