在最近的安全公告,微软警告说,“漏洞的小工具可能允许远程执行代码”:什么是“小工具漏洞”?
攻击谁成功利用小工具漏洞可能会在当前用户的上下文中运行任意代码。
(Microsoft Security Advisory 2719662)
我真的不明白这一点。据我所知,小工具是基于HTML的应用程序(通过设计)以完全信任的方式运行!
完全信任
运行小工具的选择呈现给在相同的方式,选择运行从互联网上下载任何应用程序呈现给用户。关于小工具作者的信息显示在一个对话框中,表明存在与此文件相关的风险。用户接受警告后,该小工具将以与用户的登录帐户关联的所有权限运行。
(MSDN: Gadgets for Windows Sidebar Security)
例如,没有什么能阻止你加入
<script language="VBScript">
Set shell = CreateObject("Wscript.Shell")
shell.Run "notepad.exe"
</script>
,并从您的小工具执行任意命令。 This works and it's by design.
显然,他们可以完成在本地用户环境中运行的另一个应用程序可以执行的任何操作。那么,MS Security Advisory的漏洞在哪里提到哪些“可以被利用”?
显然,小工具代码本身是有限的JavaScript,但随后在小工具子系统中存在一个漏洞,允许执行随机代码,而不限于JS macnine。 – GSerg 2012-07-15 09:33:14
@GSerg:小工具中的JavaScript/VBScript与[HTA](http://en.wikipedia.org/wiki/HTML_Application)中的JavaScript/VBScript具有相同的功能,例如[它可以启动任意应用程序](http: //blogs.technet.com/b/heyscriptingguy/archive/2005/10/31/how-can-i-start-an-application-from-an-hta.aspx)那么,如果语言本身允许你执行任意代码,那么“利用”又有什么意义呢? – Heinzi 2012-07-15 09:42:40
PS:我故意决定发布这个到StackOverflow而不是SuperUser,因为它更可能是一个小工具*开发人员*可以回答这个问题,而不是一个小工具*用户*。 – Heinzi 2012-07-15 09:44:26