安全動(dòng)態(tài)

微軟修復(fù)了2018年起就存在的0day級(jí)別Windows文件簽名漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-08-18    瀏覽次數(shù):
 

信息來(lái)源:Cnbeta

作為8月11日補(bǔ)丁周二的一部分,一個(gè)0day級(jí)別的漏洞被修復(fù),它影響到Windows 7、Windows 8.1、Windows 10和幾個(gè)Windows Server版本,微軟還承認(rèn)已經(jīng)留意到利用此漏洞發(fā)生的攻擊已經(jīng)出現(xiàn)。這是操作系統(tǒng)中的一個(gè)欺騙漏洞,詳情記錄在CVE-2020-1464中,后果是黑客最終可以通過成功利用它來(lái)加載不當(dāng)簽名的文件。



"存在一個(gè)欺騙漏洞可以令Windows錯(cuò)誤地驗(yàn)證文件簽名。成功利用該漏洞的攻擊者可以繞過安全功能,加載不正當(dāng)簽名的文件。在攻擊場(chǎng)景中,攻擊者可以繞過旨在防止加載不當(dāng)簽名文件的安全功能。"微軟表示,看起來(lái)這個(gè)缺陷從2018年起就存在。


KrebsOnSercurity透露,該欺騙漏洞最早是由VirusTotal的經(jīng)理Bernardo Quintero向微軟報(bào)告的,公司隨后向他證實(shí)了這一發(fā)現(xiàn)。但是,"微軟已經(jīng)決定不會(huì)在當(dāng)前版本的Windows中修復(fù)這個(gè)問題,并同意我們能夠在博客上公開報(bào)道這個(gè)案例和我們的發(fā)現(xiàn)。"在引用源強(qiáng)調(diào)的一篇博客文章中如此描述。


安全研究員、KZen Networks的創(chuàng)始人Tal Be'ery也指出,有證據(jù)表明該缺陷在2018年夏天就被發(fā)現(xiàn)了,不知為何微軟當(dāng)時(shí)就決定不打補(bǔ)丁。


微軟則回避了關(guān)于為什么要等到現(xiàn)在才打補(bǔ)丁的問題。但更糟糕的是,微軟在2018年不發(fā)布修復(fù)程序,等到2020年8月才解決操作系統(tǒng)缺陷,這意味著本身就暴露在攻擊之下的Windows 7設(shè)備不再獲得補(bǔ)丁,因?yàn)槠浞歉顿M(fèi)性質(zhì)的支持早在2020年1月就結(jié)束了。


 
 

上一篇:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心:2019 年中國(guó)遭受境外惡意程序攻擊半數(shù)來(lái)自美國(guó)

下一篇:2020年8月18日聚銘安全速遞