首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

因微软未在限定90天内修复 Google Project Zero团队披露权限提升漏洞

2021-08-19 17:02 · 稿源: cnbeta

由于微软并没有在限定的 90 天时间内修复漏洞,Google 的 Project Zero 团队近日披露了存在于 Windows 系统中的权限提升(EoP)漏洞。这个漏洞是因为 Windows 过滤平台(WFP)的默认规则允许可执行文件连接到 AppContainers 中的 TCP 套接字,这导致了 EoP。基本上,WFP中定义的一些规则可以被恶意行为者匹配,以连接到 AppContainer 并注入恶意代码。

align:center">j82gcmum.jpg

Project Zero 团队运行机制是这样的:发现漏洞后报告给厂商,并给予 90 天的时间进行修复。如果厂商没有在限期内进行修复,那么团队就会公开披露。自然,根据所需修复的复杂性,团队有时还会以宽限期的形式提供额外的时间。

报告该漏洞的安全研究员James Forshaw接着说。

这当然是一个普遍的问题,如果任何应用程序添加了许可规则,可以通过 AppContainer 到达,那么这些规则可以在阻止规则之前被匹配。当然,这无疑是设计上的问题,但这里的问题是这些规则在我测试过的所有系统中都是默认存在的,因此任何系统都会有漏洞。请注意,这并不允许访问 localhost,因为这在 ACCEPT/RECV 层是失败的,它提前阻止了 AppContainer 的 localhost 连接。

从修复的角度看,也许这些默认规则不应该与AC进程相匹配(所以要添加FWPM_CONDITION_ALE_PACKAGE_ID的检查),或者它们应该在AC阻止规则之后排序。也可能是它们太灵活了,即使限制在一个特定的端口,至少也能减少攻击面。我不确定是否有解决这个问题的一般方法,但由于AC进程不能列举当前的规则(AFAIK),那么AC进程将永远不知道是否有非默认的规则被添加,他们可以滥用。

  • 相关推荐
  • 大家在看
  • 阿里云贾扬清:如何三步实现AI工程化

    “通过数据和算力的云原生化,调度和分布式编程范式的规模化,上层算法开发和服务标准化和普适化建设,三步实现AI工程化。” 10 月 21 日,阿里巴巴副总裁,阿里云计算平台事业部高级研究员,达摩院 AI 平台负责人贾扬清在云栖大会AI工程化技术峰会现场表示,随着数据的爆发,单位数据价值降低,人工智能在持续探索如何用更高效的办法,辅助开发者进行大规模计算和数据管理,企业需要用好AI工程化能力,提升开发和经营效率。在感知

  • 阿里云盘iPad版上线

    今日,阿里云盘iOS端发布了2.2.8版本,iPad版阿里云盘也正式上线。该版本中,阿里云盘视频播放功能支持内嵌字幕多语种切换、文档预览支持横屏和手势缩放、通讯录备份支持合并相似联系人、保险箱支持展示容量使用情况。

  • 阿里云:将服务器泡在水里 散热能耗几乎为零

    2021云栖大会上,阿里巴巴集团副总裁、阿里云基础设施负责人周明表示,阿里云将加速在新型数据中心内清洁能源的使用,位于河源的数据中心最快明年将100%使用清洁能源。

  • 阿里云多端商城」正式发布!实现天/淘商品复制到多端销售

    近日,零售数字化服务商-商派对外发布了与阿里云战略合作的系统产品——「阿里云多端商城」。「阿里云多端商城」是通过阿里云接口,将品牌商家天猫/淘宝店的商品、库存、订单履约和售后服务等成熟能力,同步复制到「阿里云多端商城」里的支付宝小程序和商家其他私域交易端。交易场景均由商派提供开发支持。商家的公私域商品数据打通,无需再按端分货,三端乃至未来N多端都可以共享天猫/淘宝店供应链内的一盘货;更无需在其他渠道多

  • 阿里云发布第四代神龙架构 计算首次进入5微秒时延时代

    【TechWeb】10月20日消息,在2021云栖大会上,阿里云宣布推出第四代神龙架构,这是飞天云操作系统新一代虚拟化技术,首次搭载全球唯一的大规模弹性RDMA加速网络,网络延迟整体降低80%以上。神龙4.0带来的计算架构革新,将云计算首次带进5微秒时延时代。相比传统TCP协议,RDMA能大幅降低网络通信延迟。阿里云采用软硬一体化的设计思路,将弹性RMDA的加速能力融入公共云,让RDMA从HPC类应用,走向支持通用类计算场景,为Microservice

  • 阿里云:加速数据中心清洁能源使用 河源中心明年将100%使用清洁能源

    【TechWeb】10月20日消息,在2021云栖大会上,阿里巴巴集团副总裁、阿里云基础设施负责人周明表示,阿里云将加速在新型数据中心内清洁能源的使用,位于河源的数据中心最快明年将100%使用清洁能源。周明透露,“技术先进”和“绿色低碳”已成为新型数据中心的关键词,阿里云以低碳选址、清洁能源、液冷技术等融合AI应用,加速绿色节能技术创新及迭代升级,做到“少用电、用好电、用绿电”。据介绍,阿里云工程师们研发出“将服务器?

  • 深化合作共飞跃,袋鼠成为阿里云智能制造先锋联盟首批伙伴

    10 月 19 日至 22 日, 2021 杭州·云栖大会在杭州云栖小镇举办。历经 13 载,云栖大会已成为科技界的风向标,不断带来领域更广、更前沿的科技论坛和新品展览。本届大会首次布置超过 40000 平米的科技展,设置两场重磅主论坛和超过百场前沿科技分论坛,涵盖 25 个前沿技术领域和 50 多个垂直行业。作为数字化基础设施领域的代表供应商,袋鼠云再次出席云栖大会,以“数据处理的全流程具象化”展示理念,打造了涵盖数据中台、数字孪

  • 阿里云新一代离线实时一体化数仓与湖仓一体升级发布

    10 月 22 日上午, 2021 杭州云栖大会大数据平台技术论坛中,阿里云和各行业客户、大数据开发者共同探讨大数据平台技术发展趋势及最新演进,围绕业内持续受到关注的数据仓库、数据湖、湖仓一体架构等技术和云上实战经验进行了深入交流,并由阿里云智能计算平台产品与解决方案总经理高雪峰和阿里云智能研究员、阿里云智能通用计算平台MaxCompute、机器学习PAI平台技术负责人林伟分别对阿里云新一代离线实时一体化数仓与湖仓一体进行

  • 阿里云发布全新操作系统“龙蜥”:将投入20亿元

    10月20日,2021云栖大会上,阿里云发布了全新操作系统龙蜥”(Anolis OS),并宣布开源。据了解,龙蜥操作系统定位于服务器市场,支持x86、ARM等多种硬件架构和计算场景。它特别针对云原生应用开发做了多重优化,云上典型场景的综合性能可提升40%,同时故障率可降低50%,还兼容CentOS生态,支持一键迁移,并提供全栈国密能力。龙蜥操作系统完全开源,通过开源社区和操作系统厂商等形式提供服务,技术支持至少10年。未来,阿里云计?

  • 阿里云将于2022年在韩国及泰国开设两个新数据中心

    据国外媒体报道,阿里巴巴正在亚洲扩大其云业务。昨日,该公司旗下云计算业务部门阿里云在“云栖大会”上宣布,将于2022年在韩国及泰国开设两个新的数据中心,以满足这两个国家的企业的云计算需求。

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天