【漏洞预警】Windows任意文件读取漏洞

释放双眼,带上耳机,听听看~!
概述:Twitter名称为SandboxEscaper的安全研究员今天发布了针对微软Windows操作系统的新零日漏洞的概念验证(PoC)漏洞利用。零日漏洞存在于Windows的“MsiAdvertiseProduct”功能中,该功能负责生成“广告脚本或将产品通告给计算机,并使安装程序能够将用于分配

概述:

Twitter名称为SandboxEscaper的安全研究员今天发布了针对微软Windows操作系统的新零日漏洞的概念验证(PoC)漏洞利用。

windows-zero-day-exploit

零日漏洞存在于Windows的“MsiAdvertiseProduct”功能中,该功能负责生成“广告脚本或将产品通告给计算机,并使安装程序能够将用于分配或发布产品的注册表和快捷方式信息写入脚本。 

根据研究人员的说法,由于验证不当,可能会滥用受影响的功能来强制安装程序服务将任何文件的副本作为SYSTEM权限并读取其内容,从而导致任意文件读取漏洞。

修复建议:

暂无:

POC地址:

 https://sandboxescaper.blogspot.com/2018/12/readfile-0day.html

参考链接;https://thehackernews.com/2018/12/windows-zero-day-exploit.html

https://youtu.be/x4P2H64GI1o

给TA买糖
共{{data.count}}人
人已赞赏
系统安全

【漏洞预警】CVE-2018-8626 Windows DNS 服务器远程代码执行漏洞

2018-12-14 5:17:48

系统安全

Windows RDP服务蠕虫级漏洞预警 堪比WannaCry

2019-5-16 9:35:27

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索