北京時間9月12日,微軟例行發(fā)布月度安全更新,修復(fù)了騰訊安全科恩實(shí)驗(yàn)室提交的三個高危漏洞,并對其公開致謝。
根據(jù)微軟官網(wǎng)公告顯示,這三個漏洞均來自騰訊安全科恩實(shí)驗(yàn)室安全研究員Peter Hlavaty提報,分別為兩個Hyper-V漏洞(CVE-2018-8436、CVE-2018-8437)和一個SMB漏洞(CVE-2018-8335)。
值得關(guān)注的是,Peter Hlavaty提交的三個漏洞是拒絕服務(wù)類型。通常情況下,拒絕服務(wù)類漏洞沒有遠(yuǎn)程代碼執(zhí)行漏洞嚴(yán)重,一般不會出現(xiàn)在微軟的月度更新中。但Peter Hlavaty此次提交的三個漏洞卻是基于遠(yuǎn)程服務(wù)器的拒絕服務(wù)類型,安全隱患不可同日而語。
Hyper-V是微軟提出的一種系統(tǒng)管理程序虛擬化技術(shù),能夠?qū)崿F(xiàn)桌面虛擬化,是微軟Azure云服務(wù)器的御用組件,最近也應(yīng)用在Edge中,用于增強(qiáng)虛擬化保護(hù)。Peter Hlavaty提交的兩個Hyper-V漏洞,通過Guest(來賓)可攻擊一個虛擬機(jī)上的Host(主人),進(jìn)而可以攻擊所有虛擬機(jī)Host上的Guest,危害比單個客戶端比如像瀏覽器的遠(yuǎn)程代碼執(zhí)行還要大。
此外,騰訊安全科恩實(shí)驗(yàn)室此次獲致謝的SMB漏洞(CVE-2018-8335),正是此前“臭名昭著”的影子經(jīng)紀(jì)人泄密的漏洞,再次揭示了SMB的安全隱患。騰訊安全科恩實(shí)驗(yàn)室在這個問題上進(jìn)一步檢查SMB的認(rèn)證部分,并發(fā)現(xiàn)遠(yuǎn)程錯誤。首當(dāng)其沖的是固定的DOS和其他待定修復(fù),而Azure DoS在關(guān)閉服務(wù)器時發(fā)揮著非常重要的作用。
事實(shí)上,本次發(fā)現(xiàn)三個漏洞并非科恩實(shí)驗(yàn)室首次在相應(yīng)領(lǐng)域的研究成果。該實(shí)驗(yàn)室在2017年就開始關(guān)注Hyper-V及遠(yuǎn)程攻擊,并提交了CVE-2017-0161、CVE-2017-8664、CVE-2017-0051三個漏洞,指出Hyper-V的安全隱患,在協(xié)助微軟修復(fù)漏洞之后持續(xù)對這個微軟的重要部分保持關(guān)注。
持續(xù)對一個領(lǐng)域保持研究熱情,對騰訊安全科恩實(shí)驗(yàn)室這樣的白帽黑客團(tuán)隊而言其實(shí)是“正常操作”。在時下大熱的車聯(lián)網(wǎng)安全領(lǐng)域,實(shí)驗(yàn)室曾在2016和2017兩年連續(xù)通過無物理接觸式破解了特斯拉。雖然實(shí)現(xiàn)了同樣的破解效果,但是過程卻使用了截然不同的破解方式。
而包含科恩實(shí)驗(yàn)室在內(nèi)的騰訊安全聯(lián)合實(shí)驗(yàn)室更是世界頂級廠商致謝公告上的???,在今年BlackHat上公布的微軟百人致謝榜上,騰訊一共8人上榜,向全世界展示了中國白帽黑客的實(shí)力;還曾在2016年向微軟、谷歌、Adobe、蘋果四大廠商貢獻(xiàn)269個漏洞報告,位居國內(nèi)第一。
騰訊安全科恩實(shí)驗(yàn)室在協(xié)助廠商修復(fù)安全漏洞、提升安全性能的同時,還通過搭建全球性的安全技術(shù)對話平臺,攜手安全廠商和安全社區(qū)共同守護(hù)網(wǎng)絡(luò)安全。由騰訊安全發(fā)起、騰訊安全科恩實(shí)驗(yàn)室和騰訊安全平臺部聯(lián)合主辦、騰訊安全學(xué)院協(xié)辦的2018騰訊安全國際技術(shù)峰會(TenSec)將于10月10日—11日召開。值得一提的是,來自微軟的安全專家Nicolas joly也將登臺演講,分享Hyper-V相關(guān)領(lǐng)域的安全問題。
對于微軟本次發(fā)布的更新,騰訊電腦管家已經(jīng)第一時間推送了這批補(bǔ)丁,為了避免不法黑客利用最新漏洞進(jìn)行攻擊,廣大用戶可通過騰訊電腦管家進(jìn)行修復(fù),以防電腦被不法黑客侵入。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 新能源車技術(shù)升級搶先看,ChatGPT崩了引熱議:未來科技如何破局?
- 自動駕駛行業(yè)大洗牌即將結(jié)束,小馬智行引領(lǐng)千臺車隊新篇章
- 微軟反壟斷風(fēng)暴:Office捆綁銷售引質(zhì)疑,云服務(wù)策略遭調(diào)查,巨頭陷困境
- 顯卡漲價風(fēng)暴來襲!NVIDIA/AMD緊急應(yīng)對,全力加速生產(chǎn)運(yùn)回本土
- 微軟新目標(biāo):用1000億美元打造實(shí)用通用AI,未來可期但需謹(jǐn)慎
- 亞馬遜云科技陳曉建預(yù)測:未來三年內(nèi),生成式AI將引發(fā)云市場新革命
- 林肯中國辟謠:財務(wù)調(diào)整非合并,業(yè)務(wù)不變穩(wěn)如泰山
- 字節(jié)跳動研發(fā)大手筆:2024年投入接近BAT之和,能否引領(lǐng)中國OpenAI新潮流?
- 跨境匯款平臺新舉措:螞蟻集團(tuán)開發(fā)者服務(wù)限每日10萬美元,助力全球交易更便捷
- 我國充電樁建設(shè)提速,50%增長背后的高速服務(wù)區(qū)充電新篇章
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。