整理 | 郑丽媛
《持发委新闻》(ID:持发委新闻)
随着版本的不断改进,操作系统的缺陷是不可避免的。 一般来说,无法保证系统中的错误能够由操作内部系统的维护团队来“清理和清空 ”, 因此它们常常依赖外部的“大众力量 ” 。
这不,微软已经暴露了一些缺陷 可能会伤害许多Linux版本CVE-2022-29799和CVE-2022-29800是泄漏号码。微软称为Nimbuspwn。因此,产生了一长条,概括了差距的概念。
关于微软的行动注册社的Jeff Burt也写了一篇题为“微软在Linux大喊:看。”你这也有提权漏洞!》,"微软一直努力写一个漫长的故事, 这是一个坏主意。"这些洞是尼姆布斯普文的好名字可是,每月,Windows还填补了大量的电力缺口。微软为什么不对自己的操作系统 的虫子做同样的事呢?
Nimbuspwn Linux 首选差距
根据微软公布的泄漏报告本次发现的 Nimbuspwn Linux 首选差距,它是在系统化的网络发送器组件中发现的,它以各种Linux发行方式提供。网络的移动是网络移动变化的主要原因。并选择执行基于新状态的多个脚本
他的文章中, iPhone 365捍卫者研究小组成员Jonathan Bar Or写道:
经过对网络播放的代码流 进行彻底的检查“_run_hooks_for_state”是微软研究人员发现的阶段之一。它将根据确定的网络状态执行脚本:首先,调用“ get_ script_ list” 以检索脚本列表( 以字符串形式显示新状态); 然后,最后,排序脚本列表。使用子进程。 Popen 执行脚本命令 。还有一个自定义的环境变量。
对此,微软研究人员认为,链接“_run_hooks_for_state”包含三个安全漏洞:目录历史、符号链接竞争和检查/使用时间/时间竞争漏洞,所有这些漏洞都可能被攻击者用来收回权力、恶意软件分发或其他恶意操作。
Jonathan Bar Or提供了一个例子:在检查/使用竞争的环境下,没有办法解决问题。发现脚本和运行脚本之间存在时差。在此过程中,攻击者可以利用这一漏洞。替换网络发送器最初认为属于 root 的脚本, 替换为不属于 root 的脚本。 我不知道该怎么办 。
漏洞已修复
在发现这组弱点后微软保安小组立即联系了Clayton Craft, 网络发送维护者。三周前,他也修好了漏水网络搜索二版已发布。
然而,据Viakoo CEO Bud Broomhead说,他并不是唯一能够有所作为的人。诸如Nimbuspwn等部件的弱点实际上更难迅速修复: “不可能迅速修复Nimbuspwn。常规测试和维修方法可能不合适。也可以在600多份Linux分发中提供。它不仅需要用户人工进入和安装补丁,而且还需要用户的人工补丁。发行经理还必须提前检测修正并发布最新消息。 我不知道我该怎么办。
“Linux生态系统中存在越来越多的缺陷”,Jonathan Bar Bar Or说。这反映了对操作系统及其部件进行更多控制的需求。“微软团队提出的这个Linux专题是世界上最重要的问题之一”,这在Windows上也很普遍 我不知道该怎么办
Windows没有太多的能量差异。
随着文章的开始,总是不可能防止任何操作系统的缺陷,包括最近在Windows中暴露出的力量差距:
2020 年,安全研究者Abdelhamid Naciri发现了CVE-2021-24084,安全研究者Abdelhamid Naciri发现了Windowsuncovered24084的电力缺口,安全研究者Abdelhamid Naciri发现了Windows的电力缺口。它可能影响各种操作系统,包括Windows 10、Windows 11和Windows服务器。
CVE 2021-41379于2021年被CVE 2021-41379发现,作为Windows安装器升动功率的一个空白;
2021年,CVE-2021-3693也检测到Windows 10的电源缺口。
Windows 10中的CVE-2022-21882本地接入缺口在今年1月才得到解决。
作为回应,登记册网站创建者Jeff Burt指出,微软安全小组没有像在对其他漏洞进行有利审查时那样,在自己的空白上公布更多的内容:
微软将许多互联网用户“翻倒”至Linux系统层面:
@JanK。"然而,这个组件与Linux无关。"因为它不是内核的一部分.. 我发现它在Linux世界。臭虫发现是一种流行的活动; 与我在微软公司工作30年不同,他们只是拒绝承认和拒绝存在漏洞。"这只是功能缺陷,你解释一下" 我不知道我该怎么办"
@AdamWill:请注意。网络管理员的系统网络开发的第三方插件网络发送器中发现了这一缺陷。这种差距之所以存在,只是因为它的作者不合逻辑。他们和Linux的系统毫无关系 我不知道我该怎么办
参考链接:
https://www.theregister.com/2022/04/27/microsoft-linux-vulnerability/
https://www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/
END