Windows新补丁再受挑衅 攻击代码已公布

安全
微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。

微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。

这个被微软定义为最高危险等级“危急”的漏洞早在9个月前的黑客大赛上就发现了,当时它被其发现者用于强强联手攻击Internet Explorer 8 (IE8),并为其赢得了10000美元的奖金。

Vreugdenhil在去年的Pwn2Own上只用了2分钟就攻击了IE8,被称为“技术上令人印象深刻的”。他不光用了两个漏洞,而这两个漏洞都可以自身被利用,他还令两个漏洞同时奏效。

Vreugdenhil指出,这个攻击代码并不适用于实施犯罪的人,单单运行该开发程序不会起作用,不过IE会瘫痪。TippingPoint公司的Portnoy认为微软在9个月后才迟迟做出修补表现出他们在交流上的工作失误,因为微软认为该漏洞不可开发,而Vreugdenhil的工作则证明这是可以开发的,但直到Vreugdenhil到美国的TippingPoint工作后,他们才正式和微软联络上并指出这个漏洞的可开发性。

上个月微软再次就其对ASLR和DEP的信任表态,认为他们对目前可预想的攻击都可以做出强有力的对策。Portnoy对此持反对意见,“他们看不到漏洞不代表这些漏洞没有被利用过。这只是能说明微软还没发现它们”。今年3月9日至11 日,将在CanSecWest安全会议上举行新一届Pwn2Own比赛,届时将主要关注对浏览器和手机的开发。不过今年的现金大奖将颁给成功入侵手机宽带处理器的研究者,因为这将为开发处理无线通讯信号的芯片固件漏洞提供思路。

【编辑推荐】

  1. 创建Java安全框架 避免Java漏洞被利用
  2. 揭穿零日漏洞的七大误区
  3. 微软发布新年首批安全补丁 暂未修复IE“圣诞”漏洞
  4. 微软修复关键Windows漏洞 发布临时IE问题解决方案
责任编辑:佟健 来源: cnBeta
相关推荐

2011-08-25 09:47:08

2009-09-30 11:10:31

2013-07-10 10:11:06

2020-10-29 09:45:58

零日漏洞Chrome攻击

2011-06-21 09:45:43

2021-03-31 05:59:46

Windows10操作系统微软

2020-05-28 18:27:51

5G网络智慧教育

2009-11-20 09:12:30

GoogleChrome OS源码下载

2014-10-11 13:57:04

2019-02-25 07:55:35

Windows服务器DoS

2015-10-26 09:09:41

蓝屏补丁Windows 10

2019-12-24 11:19:56

2013-05-15 16:43:38

2016-01-06 11:33:14

Windows 10补丁Flash

2015-03-30 00:24:54

2023-06-14 16:27:05

2015-11-12 09:14:18

补丁KB3105213Windows 10

2016-02-19 12:56:08

微软物联网Azure

2021-11-22 11:09:12

微软Windows 11蓝屏

2010-11-17 09:11:38

Linux内核补丁
点赞
收藏

51CTO技术栈公众号