原标题:因Windows修补程式而冒出的漏洞攻击程式码公布于网络上
署名XPN的骇客将CVE-2018-1038的攻击程式公布于GitHub上,声称为学习使用,并非让人用于攻击。
图片来源:GitHub
Meltdown漏洞阴影久久不散。微软三月间修补Meltdown漏洞的程式引发新漏洞,现在有骇客将攻击程式码公布于网络论坛上。
三月间瑞典安全研究人员Ul△Frisk发现,微软一月以来针对CVE-2017-5754(即Meltdown)释出的修补程式却为x64版Windows△7及Windows△2008 R2造成更大漏洞,可能让app提升权限,进而从作业系统记忆体读取或写入资讯。
微软给予这个权限升级漏洞编号为CVE-2018-1038,不过自称骇客及资安研究人员的骇客XPN称之为Total△Meltdown。他指出,Total△Meltdown允许任何程序存取和修改PML△4记忆体分页表的资讯,于是“趁本周有点空闲”写出攻击程式,已成功骇入了Windows中的记忆体管理机制,还清楚说明攻击程式编写示范,并将程式码公布于GitHub上。但他强调本文是提供学习,而非让人拿来发动攻击之用。
Total△Meltdown影响x64版Windows△7 、Windows△2008 R2及Windows△2008 R2 Server△Core系统。由于攻击者必须先登入系统再执行改造过的app以接管系统控制权,严重程度被列为“重要”(important)。
今年初微软针对上述作业系统释出的所有更新都内含这个漏洞,包括KB△4056894、KB△4056897、KB△4073578、KB△4057400、KB△4074598、KB△4074587、KB△4075211、KB△4091290、KB△4088875、KB△4088878、KB△4088881。
微软已经在3月底释出最新更新,IT人员最好尽速升级安装。
相关:
奥地利滑雪胜地Patscherkofel的缆车控制介面在网络上门户大开
示意图,与新闻事件无关。 图片来源: Austrian△Tirol 两名来自InternetWache.org的安全研究人员Tim△Philipp△Sch?fers与Sebastian△Neef于今年3月中旬在网络上扫描含有漏洞的系统时,发现他们可以存取奥地利因斯
4月24日消息,深圳警方近期破获一起新型电信网络诈骗案,相关涉案团伙在10余天内骗取700多万元,而利用第三方支付渠道洗钱,是这个案件的最后一环。第三方平台乱象调查 记者在广东、北京、上海等多地调查发现,目前部
销售Windows还原光碟,电子废弃物回收鼓吹者被判15个月牢狱
示意图,与新闻事件无关。 美国专门倡导回收电子废弃物的Eric△Lundgren因销售Windows还原光碟,遭指控共谋销售仿冒品与侵权版权,被法院判罚5万美元与15个月的刑期。美国海关和边境保护局(U.S. Customs△and△Bo
Google释出独立的待办事项行动程式Google Tasks
使用者已可在Google△Play及App△Store下载Google△Tasks。 图片来源: App△Store Google于本周三(4/25)释出独立的待办事项行动程式Google△Tasks,Tasks过去属于G△Suite的元件之一,可用来追踪与管理待办事项,
示意图,与新闻事件无关。 图片来源: 微软 愈来愈多电脑仅配备很小的硬盘空间,这也使得这些装置安装不了传统作业系统。为此微软可能正在开发小储存空间装置如平板专用的精简版Windows△10。名为Lucan的网友发现在