研究人員繞過微軟11月的修補,發布概念性驗證攻擊程式

微軟在今年11月9日修補的CVE-2021-41379漏洞,已被揭露它的安全研究人員Abdelhamid Naceri繞過,而且Naceri還在本周透過GitHub公布了開採該漏洞的概念性驗證程式,,是因為不滿微軟抓漏獎勵專案的獎金不斷調降才有此一行動。

,在微軟本月修補的55個安全漏洞中,僅被列為重要(Important)漏洞,CVSS風險評分為5.5,相較於其他4個零時差漏洞、2個已被開採的漏洞,或者是6個重大漏洞,並未被視為應優先修補的安全漏洞。

,當他在分析CVE-2021-41379的修補程式時,發現微軟並未妥善修補,使得他得以繞過這些修補,所打造的概念性驗證程式覆蓋了Microsoft Edge的任意存取控制清單(DACL),還能將自己複製到服務區域並加以執行,而取得權限的擴張,該驗證程式適用於每一個部署了11月修補程式的Windows安裝,包括最新的Windows 11及Windows Server 2022。

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

台中搬家遵守搬運三大原則,讓您的家具不再被破壞!

台中搬家公司推薦超過30年經驗,首選台中大展搬家

回頭車貨運收費標準

宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念

《BleepingComputer》測試了Naceri所釋出的概念性驗證程式,證明只需要幾秒鐘,就能將使用者帳號的權限從標準權限提高到系統權限。

對於當初既提交了CVE-2021-41379漏洞予微軟,發現漏洞未修補完整,卻又公開發表概念性驗證程式,Naceri向《BleepingComputer》表示,微軟的抓漏獎勵計畫從去年4月以來就像是廢物,倘若不是微軟決定調降獎金,他不會有如此舉動。也有其它研究人員與Naceri有共鳴,包括抱怨所提交的零時差漏洞獎金從1萬美元被調降到1,000美元,或者是指責微軟任意調整獎金額度等。

Naceri說,針對該漏洞的最佳緩解措施就是等待微軟再次修補,但此一漏洞有些複雜,一不小心就可能會直接破壞Windows Installer。

來源鏈接:https://www.ithome.com.tw/news/147976

想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線

推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

太陽光電發電設備是否會產生噪音?

找對廠商很重要喔,東陽能源是擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢