近日,奇安信代碼安全實驗室研究員為微軟發(fā)現兩個分別為“嚴重”和“重要”級別的漏洞(CVE-2019-1217和CVE-2019-1285),并第一時間向微軟報告且協(xié)助其修復漏洞。
北京時間2019年9月11日,微軟發(fā)布了補丁更新公告以及致謝公告,公開致謝奇安信代碼安全實驗室研究人員,并向研究人員頒發(fā)“微軟 Windows Insider Preview 漏洞獎勵計劃”內核類漏洞最高級別的獎金2萬美元。
圖:微軟官方致謝
漏洞概述
“嚴重”級別的 CVE-2019-1217 — Chakra 腳本引擎內存損壞漏洞
該漏洞存在于 Chakra 腳本引擎處理 Edge 內存中對象的方式中,是一個遠程代碼執(zhí)行漏洞。該漏洞可損壞內存,導致攻擊者在當前用戶上下文中執(zhí)行任意代碼。成功利用該漏洞的攻擊者能夠獲取和當前用戶一樣的權限。如當前用戶以管理員用戶身份登錄系統(tǒng),則成功利用該漏洞的攻擊者能夠控制受影響系統(tǒng),之后執(zhí)行一系列操作:安裝程序;查看、修改或刪除數據;或創(chuàng)建新賬戶。
“重要”級別的 CVE-2019-1285 — Win32k 提權漏洞
當 Win32k 組件未能正確地處理內存中的對象時,就會導致提權漏洞的產生。攻擊者如成功利用CVE-2019-1285,則可導致攻擊者在內核模式中運行任意代碼,隨后可以完整的用戶權限執(zhí)行一系列操作:安裝程序;查看、修改或刪除數據;或創(chuàng)建新賬戶。
微軟已解決這兩個漏洞問題,用戶應盡快予以更新。
參考鏈接
https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgmentshttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1217https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1285
關于奇安信代碼衛(wèi)士
“奇安信代碼衛(wèi)士” 是奇安信集團旗下專注于軟件源代碼安全的產品線,代碼衛(wèi)士系列產品可支持 Windows、Linux、Android、Apple iOS、IBM AIX 等平臺上的源代碼安全分析,支持的編程語言涵蓋 C、C++、C#、Objective-C、Java、JSP、JavaScript、PHP、Python、Go、區(qū)塊鏈智能合約 Solidity 等。目前代碼衛(wèi)士已應用于上百家大型機構,幫助用戶構建自身的代碼安全保障體系,消減軟件代碼安全隱患。
關于奇安信代碼安全實驗室
奇安信代碼安全實驗室是奇安信代碼衛(wèi)士的研究團隊,專門從事源代碼、二進制漏洞挖掘和分析,主要研究方向包括:Windows / Linux / MacOS 操作系統(tǒng)、應用軟件、開源軟件、網絡設備、IoT設備等。截至目前,奇安信代碼安全實驗室已經幫助谷歌、微軟、蘋果、Adobe、Cisco、Oracle、Linux內核組織、阿里云、D-Link、ThinkPHP、以太坊、各種開源組織等修復了100多個安全漏洞,并獲得致謝。
文章內容僅供閱讀,不構成投資建議,請謹慎對待。投資者據此操作,風險自擔。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術、產品設計及應用方面的創(chuàng)新變革,全球領先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產品設計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術和新品亮相,以敢為精神勇闖技術無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導,由上海市人工智能行業(yè)協(xié)會聯合上海人工智能實驗室、上海臨港經濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。