Microsoft wimgAPI库恶意代码执行漏洞

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

微软本周修补了一个影响wimgapi库的远程代码执行漏洞,该库用于对Windows Imaging Format(WIM)文件执行操作。

Microsoft wimgAPI库恶意代码执行漏洞

作为微软2018年6月补丁的一部分,Talos的Marcin Noga在wimgapi版本10.0.16299.15(WinBuild.160101.0800)的LoadIntegrityInfo函数中发现了这个问题。利用此漏洞的攻击者可能使用特制的WIM映像导致堆损坏并实现直接代码执行

作为CVE-2018-8210的追踪对象,该漏洞驻留在用于对Microsoft创建的基于文件的磁盘映像格式执行操作的DLL中,以简化Windows系统的部署。该研究人员表示,当解析WIM文件头并且可以触发时,即使在对格式错误的WIM文件执行的最简单的操作中,该错误也会在LoadIntegrityInfo函数中体现出来。

“例如,如果应用程序尝试通过WIMCreateFile函数打开WIM文件并请求文件句柄,就足够了。该函数根据用户控制的大小值分配堆内存,并使用另一个用户控制的值从文件读取n个字节到此缓冲区。它正在使用这些值而没有任何事先的输入检查,“Noga 解释说。

利用此漏洞的攻击者可以使用与登录用户相同的访问权限执行恶意代码。研究人员表示,他们还可能使系统遭受拒绝服务攻击。因为默认情况下WIM文件没有注册文件类型处理程序,所以如果用户双击WIM文件,则不会触发问题,除非首先注册文件处理程序。

根据Talos的说法,该漏洞的CVSSv3得分为8.8。另一方面,微软则声称该错误仅具有7.3的CVSS分数,并且被认为是重要的。

该软件巨头解释说,当Windows不正确地处理内存中的对象时,存在“远程执行代码漏洞”。该公司还指出,能够成功利用该问题的攻击者可以控制一个易受攻击的系统。

微软还补充说,针对此漏​​洞的攻击者“首先必须登录到目标系统,然后运行特制的应用程序。”

为了解决这个漏洞,微软发布了一个更新,纠正了Windows处理内存中对象的方式。此漏洞不存在缓解措施或解决方法,这意味着用户需要安装最近发布的修补程序以保证系统安全。

受影响的产品包括Windows 10(32位和64位版本),Windows 8.1(32位和64位),Windows RT 8.1,Windows Server 2012,Windows Server 2012 R2,Windows Server 2016,Windows Server 1709和Windows Server版本1803。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: