微軟拒絕修復32位IE漏洞 因為32位程序要被淘汰了

責任編輯:editor005

作者:dawner

2015-06-26 13:34:07

摘自: FreeBuf

惠普安全專家Dustin Childs近日披露了一個影響數(shù)百萬的32位Windows系統(tǒng)的IE漏洞。因為微軟覺得這個問題不影響IE的默認配置,不會影響大量的用戶,所以他們覺得沒必要花力氣修復,也不存在潛在風險。

惠普安全專家Dustin Childs近日披露了一個影響數(shù)百萬的32位Windows系統(tǒng)的IE漏洞。看起來挺嚴重是不是?然而,微軟似乎并不打算修復這個漏洞……

微軟拒絕修復32位IE漏洞 因為32位程序要被淘汰了

這是一個基于ASLR(地址空間布局隨機化)的IE漏洞,ASLR是一種針對緩沖區(qū)溢出的安全保護技術,它會將應用程序或操作系統(tǒng)的地址空間隨機化,阻止針對某個內存位置的利用。據(jù)研究人員統(tǒng)計,該漏洞影響數(shù)百萬的32位win系統(tǒng),應該及時修復。然而,微軟似乎并不打算修復漏洞,雖然他們?yōu)榇酥Ц读?2.5萬美元。

漏洞描述(含POC)

微軟已經(jīng)明確表示不會修復這個漏洞,基于這個原因,惠普研究人員決定將細節(jié)公眾于眾。POC:https://github.com/thezdi/abusing-silent-mitigations

Childs表示:

“在今天Montreal的會RECon會議上,因為收到了微軟不會修復該ALSR漏洞的消息,惠普團隊公布了它的細節(jié)。同時他們也發(fā)布了一個關于攻擊細節(jié)的白皮書,其中包括對默認IE配置的修改攻擊,以及對IE防護提升的建議。

因為微軟覺得這個問題不影響IE的默認配置,不會影響大量的用戶,所以他們覺得沒必要花力氣修復,也不存在潛在風險。

當然,我們并不同意這個觀點。經(jīng)過慎重考慮,在社區(qū)放出來POC,提醒大家做出正確的IE配置更迭。我們挖漏洞和廠商交涉的生涯差不多快10年了,這種事也不是第一次了,廠商不解決問題讓我們也很頭疼。”

Childs通過惠普的0day平臺披露了Windows 7和Windows 8.1的POC,下面是視頻:

原Youtube視頻地址:https://youtu.be/9fdnnoUixE0

Childs也確認這個ASLR漏洞只影響32位平臺,波及的用戶大概有幾百萬,他表示:

“你可以把它當作影響MemoryProtection的外因,MemoryProtection只能遏制一部分UAF(使用后釋放)漏洞。但是遏制無足輕重的ASLR漏洞比得上修補UAF漏洞的意義么?在微軟看來是這樣的,IE中仍然存在UAF漏洞。而ASLR漏洞的存在,會讓IE成為一個待宰的肥羊。”

不修復的理由

微軟決定不修復該漏洞的原因有兩點:1.將來的趨勢都是64位的IE 2.MemoryProtect會讓IE漏洞數(shù)量下降

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號