微軟Windows 11高危漏洞被公開 只因懸賞獎金打骨折

            

                
                來源:量子位
            

            
GitHub 上突然有人上傳了一個 Windows 11 最新漏洞的利用辦法,幾天之內(nèi)暴漲 1300 多星。話說,發(fā)現(xiàn)漏洞不是可以報告給微軟領(lǐng)取高額賞金來著,他怎么不要了?按這位黑客自己的說法“現(xiàn)在微軟的賞金已成了垃圾”。
訪問:
阿里云11.11上云狂歡節(jié)活動大廳

▲ 學(xué)名“概念性驗證攻擊程序”
微軟漏洞發(fā)現(xiàn)賞金現(xiàn)已大幅縮水,曾有白帽黑客抱怨本來該獲得 1 萬美元的漏洞,最后只拿到 1 千美元,直接縮水 90%。

這次的這位黑客 Naceri 也很失望,索性剩下那點錢也不要了,直接公開算了。
通過這個漏洞,惡意程序能在幾秒內(nèi)獲得管理員權(quán)限,能在你電腦上為所欲為的那種。
漏洞出在 Windows Installer Service 上,就是用.MSI 文件安裝和卸載軟件時用到的服務(wù)。
Naceri 在 GitHub 頁面上說漏洞會影響到最新的 Windows 11 和服務(wù)器版 Windows Server 2022。
不過安全技術(shù)網(wǎng)站 Bleeping Computer 測試發(fā)現(xiàn),現(xiàn)在最普及的 Windows 10 也逃不過。
現(xiàn)在,思科安全情報團(tuán)隊 Talos 已偵測到了利用這個漏洞的惡意程序。

還有人 7 個月沒收到錢
微軟漏洞懸賞縮水這件事非常打擊白帽黑客們的積極性。
另一位發(fā)現(xiàn)了 Hyper-V 虛擬機(jī)漏洞的老選手就在Twitter上直呼新規(guī)定“不公平!”
按照微軟懸賞計劃公開的說法,此類漏洞賞金上限可達(dá) 25 萬美元,結(jié)果他只拿到了 5000 美元。

白帽黑客因微軟摳門憤而公開漏洞這事也不是第一次發(fā)生。
去年 9 月,一位長期從事漏洞挖掘的研究者 Lykkegaard 發(fā)現(xiàn)了能在 System32 目錄添加任意文件的方法,而且一旦寫入就無法再刪除或修改。
相當(dāng)嚴(yán)重的一個 Bug,他選擇直接給公開了,因為當(dāng)時微軟還拖欠他之前的賞金長達(dá) 7 個月。
Lykkegaard 找到這個漏洞用了 30 個小時,按照縮水后的規(guī)則只能拿到 2 千美元。
他一算這時薪才 66 美元,關(guān)鍵還不一定能拿得到,實在不值得。
公開漏洞是一把雙刃劍,雖然可能被人惡意利用,但也能讓更多第三方技術(shù)高手參與修復(fù)。
不過這一次的漏洞卻不是那么好修復(fù)的。
其實這次與 Windows Installer 相關(guān)的漏洞,微軟已經(jīng)發(fā)布過一次補(bǔ)丁。
結(jié)果這個補(bǔ)丁非但沒能完全解決問題,還引發(fā)了更復(fù)雜的漏洞。
白帽黑客 Naceri 這次公開的實際就是繞過上一個安全補(bǔ)丁的辦法,而且他警告再次嘗試修復(fù)可能帶來額外的問題。
不建議第三方嘗試修補(bǔ)二進(jìn)制文件,可能會破壞 Windows Installer。
所幸的是,第三方社區(qū) 0patch 還是在幾天之后成功制作并發(fā)布了補(bǔ)丁,
如果你擔(dān)心遇到攻擊,可以到通過 0patch 服務(wù)安裝補(bǔ)丁,地址在文章結(jié)尾。
至于微軟自己,有什么說法?
我們知悉有關(guān)資料披露,并會采取一切必要措施,確保客戶的安全和保障。使用上述方法的攻擊者必須已經(jīng)具備在目標(biāo)受害者的機(jī)器上運行代碼的權(quán)限和能力。

翻譯一下大概是:

補(bǔ)丁地址:
https://0patch.com
參考鏈接:

                         
關(guān)鍵詞:      
          
       Windows 11 
              
       微軟Windows 11高危漏洞被公開 只因懸賞獎 
       


          
		 

        
推薦

        
    

    

        

             	 
        

         
直播更多》

        
        

            關(guān)閉
                        

            
資訊更多》

        

        
焦點

        
    

    


    
    
    



亚洲人成色在线观看|
国产AV无码专区亚洲AV毛网站|
日本亚洲国产一区二区三区|
日韩亚洲人成网站|
青青青亚洲精品国产|
国产成人精品亚洲|
亚洲AV无码之国产精品|
亚洲高清毛片一区二区|
亚洲欧美一区二区三区日产|
亚洲中文字幕无码av永久|
亚洲免费综合色在线视频|
亚洲国产午夜精品理论片在线播放
|
亚洲午夜在线一区|
亚洲乱码中文字幕小综合|
国产成人精品亚洲日本在线|
亚洲人成7777|
亚洲国产无线乱码在线观看|
久久亚洲色WWW成人欧美|
无码欧精品亚洲日韩一区夜夜嗨
|
国产综合激情在线亚洲第一页|
国产偷国产偷亚洲高清人|
亚洲国产精品视频|
在线观看亚洲成人|
亚洲VA中文字幕无码毛片|
亚洲综合婷婷久久|
亚洲一区在线视频观看|
亚洲中文字幕乱码一区|
国产午夜亚洲精品不卡|
中文字幕亚洲无线码|
亚洲AV无码一区东京热久久|
亚洲黄色中文字幕|
avtt天堂网手机版亚洲|
亚洲成a∨人片在无码2023|
亚洲AV之男人的天堂|
亚洲午夜久久久久久久久电影网|
久久久亚洲精品视频|
亚洲国产精品人久久电影|
亚洲欧美乱色情图片|
亚洲男人的天堂一区二区|
亚洲国产精品SSS在线观看AV|
亚洲视频中文字幕在线|