微软补丁在开源的容器库中存在严重缺陷

微软周四告诉用户，Windows Host Compute Service Shim库的更新修补了严重的远程代码执行漏洞。

2017年1月推出的Windows主机计算服务（HCS）是适用于微软Hyper-V管理程序的低级容器管理API。该技术巨头已经推出了两种开源的包装器，允许用户从更高级的编程语言中直接调用HCS，而不是直接调用C API。

其中一个包装是Windows Host Compute Service Shim（hcsshim），它支持从Go语言启动Windows Server容器。Hcsshim主要用于Docker Engine项目，但微软表示它也可以被其他人自由使用。

瑞士开发人员和安全研究人员Michael Hanselmann发现，当导入容器映像时，hcsshim无法正确验证输入，从而允许恶意角色远程执行主机操作系统上的任意代码。

“要利用此漏洞，攻击者会将恶意代码放入特制的容器映像中，如果通过身份验证的管理员导入（拉出），可能会导致使用Host Compute Service Shim库的容器管理服务在Windows主机上执行恶意代码，“微软在咨询中表示。

被视为CVE-2018-8115的漏洞已被列为关键漏洞，但微软认为它不太可能被用于恶意目的。该问题的技术细节尚未公布。

这个缺陷已经在hcsshim 0.6.10的发布中解决了，它可以从GitHub获得。US-CERT还发布了一条警告，建议用户应用更新。

这不是微软最近发布的唯一带外更新。上个月，该公司更新了恶意软件防护引擎，以修补一个漏洞，该恶意软件可以通过将恶意文件放置在将要扫描的位置来控制系统。