solidot新版网站常见问题,请点击这里查看。

Google公开未修复的Windows 8.1安全漏洞

安全
WinterIsComing (31822)发表于 2015年01月04日 17时45分 星期日
来自M$表示管理员很忙
Google安全研究数据库在发现90天后自动披露了微软未修复的一个Windows 8.1安全漏洞。对于Google的90天自动披露机制,已有人在漏洞披露页面抱怨这是一个糟糕的主意。漏洞与不能正确验证用户是普通用户还是管理员的函数有关。ahcache.sys中的系统调用NtApphelpCacheControl()设计允许缓存应用程序的兼容性数据,以在新进程被创建时快速重用。普通用户可以查询缓存但无权加入新的缓存条目,该操作只允许有管理权限的管理员执行。但检查用户权限的函数AhcVerifyAdminContext()存在漏洞,它不能正确验证调用者的模拟令牌判断用户是否是管理员。
「星期日」 Hello Sunday

Google公开未修复的Windows 8.1安全漏洞

Google安全研究数据库在发现90天后自动披露了微软未修复的一个Windows 8.1安全漏洞。对于Google的90天自动披露机制,已有人在漏洞披露页面抱怨这是一个糟糕的主意。漏洞与不能正确验证用户是普通用户还是管理员的函数有关。ahcache.sys中的系统调用NtApphelpCacheControl()设计允许缓存应用程序的兼容性数据,以在新进程被创建时快速重用。普通用户可以查询缓存但无权加入新的缓存条目,该操作只允许有管理权限的管理员执行。但检查用户权限的函数AhcVerifyAdminContext()存在漏洞,它不能正确验证调用者的模拟令牌判断用户是否是管理员。

WinterIsComing 发表于

2015年01月04日 17时45分