国产冒白浆视频,抱着cao才爽免费视频,胸大美女又大又黄的网站,中文国产日韩欧美二视频,亚洲日本国产综合高清,又大又粗又硬又硬免费日批视频 ,国产二区不卡自拍,777免费人成影院,亚洲成AⅤ人网站,香蕉网站永久在线视频

Win11高危漏洞被人公開(kāi)，只因微軟把懸賞獎(jiǎng)金打骨折

夢(mèng)晨 2021-11-29 15:42:57 來(lái)源：量子位

獎(jiǎng)金最高縮水90%

夢(mèng)晨發(fā)自凹非寺
量子位報(bào)道 | 公眾號(hào) QbitAI

GitHub上突然有人上傳了一個(gè)Win11最新漏洞的利用辦法，幾天之內(nèi)暴漲1300多星。

△學(xué)名“概念性驗(yàn)證攻擊程序”

話(huà)說(shuō)，發(fā)現(xiàn)漏洞不是可以報(bào)告給微軟領(lǐng)取高額賞金來(lái)著，他怎么不要了？

按這位黑客自己的說(shuō)法“現(xiàn)在微軟的賞金已經(jīng)成了垃圾”。

微軟漏洞發(fā)現(xiàn)賞金現(xiàn)已大幅縮水，曾有白帽黑客抱怨本來(lái)該獲得1萬(wàn)美元的漏洞，最后只拿到1千美元，直接縮水90%。

這次的這位黑客Naceri也很失望，索性剩下那點(diǎn)錢(qián)也不要了，直接公開(kāi)算了。

通過(guò)這個(gè)漏洞，惡意程序能在幾秒內(nèi)獲得管理員權(quán)限，能在你電腦上為所欲為的那種。

漏洞出在Windows Installer Service上，Naceri在GitHub頁(yè)面上說(shuō)漏洞會(huì)影響到最新的Win11和服務(wù)器版Windows Server 2022。

不過(guò)安全技術(shù)網(wǎng)站Bleeping Computer測(cè)試發(fā)現(xiàn)，現(xiàn)在最普及的Win10也逃不過(guò)。

現(xiàn)在，思科安全情報(bào)團(tuán)隊(duì)Talos已偵測(cè)到了利用這個(gè)漏洞的惡意程序。

還有人7個(gè)月沒(méi)收到錢(qián)

微軟漏洞懸賞縮水這件事非常打擊白帽黑客們的積極性。

另一位發(fā)現(xiàn)了Hyper-V虛擬機(jī)漏洞的老選手就在推特上直呼新規(guī)定“不公平！”

按照微軟懸賞計(jì)劃公開(kāi)的說(shuō)法，此類(lèi)漏洞賞金上限可達(dá)25萬(wàn)美元，結(jié)果他只拿到了5000美元。

白帽黑客因微軟摳門(mén)憤而公開(kāi)漏洞這事也不是第一次發(fā)生。

去年9月，一位長(zhǎng)期從事漏洞挖掘的研究者Lykkegaard發(fā)現(xiàn)了能在System32目錄添加任意文件的方法，而且一旦寫(xiě)入就無(wú)法再刪除或修改。

相當(dāng)嚴(yán)重的一個(gè)Bug，他選擇直接給公開(kāi)了，因?yàn)楫?dāng)時(shí)微軟還拖欠他之前的賞金長(zhǎng)達(dá)7個(gè)月。

Lykkegaard找到這個(gè)漏洞用了30個(gè)小時(shí)，按照縮水后的規(guī)則只能拿到2千美元。

他一算這時(shí)薪才66美元，關(guān)鍵還不一定能拿得到，實(shí)在不值得。

公開(kāi)漏洞是一把雙刃劍，雖然可能被人惡意利用，但也能讓更多第三方技術(shù)高手參與修復(fù)。

不過(guò)這一次的漏洞卻不是那么好修復(fù)的。

其實(shí)這次與Windows Installer相關(guān)的漏洞，微軟已經(jīng)發(fā)布過(guò)一次補(bǔ)丁。

結(jié)果這個(gè)補(bǔ)丁非但沒(méi)能完全解決問(wèn)題，還引發(fā)了更復(fù)雜的漏洞。

白帽黑客Naceri這次公開(kāi)的實(shí)際就是繞過(guò)上一個(gè)安全補(bǔ)丁的辦法，而且他警告再次嘗試修復(fù)可能帶來(lái)額外的問(wèn)題。

不建議第三方嘗試修補(bǔ)二進(jìn)制文件，可能會(huì)破壞Windows Installer。

所幸的是，第三方社區(qū)0patch還是在幾天之后成功制作并發(fā)布了補(bǔ)丁，

如果你擔(dān)心遇到攻擊，可以到通過(guò)0patch服務(wù)安裝補(bǔ)丁，地址在文章結(jié)尾。

至于微軟自己，有什么說(shuō)法？

我們知悉有關(guān)資料披露，并會(huì)采取一切必要措施，確?？蛻?hù)的安全和保障。使用上述方法的攻擊者必須已經(jīng)具備在目標(biāo)受害者的機(jī)器上運(yùn)行代碼的權(quán)限和能力。

翻譯一下大概是：

補(bǔ)丁地址：
https://0patch.com

參考鏈接：
[1]https://github.com/klinix5/InstallerFileTakeOver
[2]https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
[3]https://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html
[4]https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/

版權(quán)所有，未經(jīng)授權(quán)不得以任何形式轉(zhuǎn)載及使用，違者必究。