1. 首页
  2. 问答
  3. 什么是“小工具漏洞”?

什么是“小工具漏洞”?

2012-07-15 32 views
6

在最近的安全公告,微软警告说,“漏洞的小工具可能允许远程执行代码”:什么是“小工具漏洞”?

攻击谁成功利用小工具漏洞可能会在当前用户的上下文中运行任意代码。

Microsoft Security Advisory 2719662

我真的不明白这一点。据我所知,小工具是基于HTML的应用程序(通过设计)以完全信任的方式运行!

完全信任

运行小工具的选择呈现给在相同的方式,选择运行从互联网上下载任何应用程序呈现给用户。关于小工具作者的信息显示在一个对话框中,表明存在与此文件相关的风险。用户接受警告后,该小工具将以与用户的登录帐户关联的所有权限运行。

MSDN: Gadgets for Windows Sidebar Security

例如,没有什么能阻止你加入

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell") 
    shell.Run "notepad.exe" 
</script>

,并从您的小工具执行任意命令。 This works and it's by design.

显然,他们可以完成在本地用户环境中运行的另一个应用程序可以执行的任何操作。那么,MS Security Advisory的漏洞在哪里提到哪些“可以被利用”?

来源

2012-07-15 Heinzi

+0

显然,小工具代码本身是有限的JavaScript,但随后在小工具子系统中存在一个漏洞,允许执行随机代码,而不限于JS macnine。 – GSerg 2012-07-15 09:33:14

+1

@GSerg:小工具中的JavaScript/VBScript与[HTA](http://en.wikipedia.org/wiki/HTML_Application)中的JavaScript/VBScript具有相同的功能,例如[它可以启动任意应用程序](http: //blogs.technet.com/b/heyscriptingguy/archive/2005/10/31/how-can-i-start-an-application-from-an-hta.aspx)那么,如果语言本身允许你执行任意代码,那么“利用”又有什么意义呢? – Heinzi 2012-07-15 09:42:40

+1

PS:我故意决定发布这个到StackOverflow而不是SuperUser,因为它更可能是一个小工具*开发人员*可以回答这个问题,而不是一个小工具*用户*。 – Heinzi 2012-07-15 09:44:26

回答

0

这些袭击发生在这样:

  1. 攻击者必须诱使用户安装并启用一个脆弱的小工具
  2. 攻击谁成功利用小工具漏洞获得相同的用户权限登录的用户。如果用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序;查看,更改或删除数据;或创建具有完整用户权限的新帐户。

如你所见,如果你安装了一个易受攻击的小工具,现在告诉我谁授权你的小工具?在世界野生网上有很多很多假冒小玩意儿..小心点。

也是微软有一个修复程序来禁用边栏和小工具,你可以在这个环节发现: microsoft advisory

,他们杀害了在Windows 8

来源

2012-08-17 06:30:23

+3

谢谢,但它仍然没有回答这个问题:什么使小工具“脆弱”?这种感觉就像是说“用户可以在他的电脑上安装易受攻击的软件,所以我们不允许软件安装”......我仍然没有看到什么使得一个小工具比从互联网下载的任何其他应用程序更“脆弱”。 – Heinzi 2012-08-17 07:06:39

+0

似乎攻击者不一定需要执行#1,因为用户可能在他们的机器上已经存在易受攻击的小工具。我猜这就是问题所在......太多主流的合法小工具都有安全漏洞。我遇到了这个文档(PDF),详细描述了[ITN新闻小工具](https://labs.mwrinfosecurity)中的一个漏洞。COM /系统/资产/ 193 /原厂/ mwri_itn-新闻小工具 - advisory_2008-02-04.pdf) – MrWhite 2013-10-04 13:19:37

0

我很欣赏你找到确切的细节,小工具和侧边栏,这里是其中由微软关闭小工具黑客提出相应的文章:

We have you by the gadgets - Black Hat(PDF文件)

来源

2012-08-17 07:55:49

+0

我读过的文章,但没有找到任何*具体*漏洞有文件档案,并没有这不是*设计*(例如:“这小玩意暴露的风险是一样的所面临的任何基于web基于应用程序“或”小工具的开发方式与传统软件几乎相同“)。因此我的问题在这里。 ;-) – Heinzi 2012-08-17 08:02:15

6

井“小工具vulnerabil两者均”这样的问题:

该小工具暴露于是相同的所面临的任何基于web的应用程序 ,例如风险中间人或代码注入。在早期版本的大多数浏览器,但现代的浏览器专门实施的控制措施,以试图减轻许多问题存在类似的问题。这些控制措施尚未在小工具平台中实施,从而使它们容易受到众所周知和彻底讨论的攻击。
- 我们有你在的小工具,黑帽。

所以你可以看到主要的漏洞是没有控制来限制运行代码中的小工具而没有任何限制。

另一个问题:

微软曾表示,它已发现了一些Vista和Win7小工具不符合安全编码实践,应该被视为造成 风险上,他们是系统跑。

所以确实运行任意代码是HTA的,但因为侧边栏和小工具平台并没有减轻它,是相当悲观的,认为所有小工具的程序员可以编写安全的代码,不会尝试利用或做兼职小工具不应该做的事情。

希望这回答了你的要求。

我仍然认为这个问题是相当模糊的,因为你说:很好,他们允许运行任意代码和它的模型和概念的一部分,他们没有减少它有啥漏洞?它已经被利用... - 这是整个想法:)

它可以被问及每一个缺陷和攻击,这正是问题 - 这是在设计上的问题,是不安全的,因为没有发现,因为没有缓解因为你真的能够没有问题运行并执行恶意代码,这些小工具有缺陷。

来源

2012-08-19 09:46:24 TheNewOne

2

约定,小工具平台似乎是不大于如果用户执行的未签名应用更多或更少的脆弱。

为什么相同的系统级执行预防措施,启发式分析&应用于其他方法的应用程序无法应用于小工具,这让我感到神秘。

微软的这种懒惰:Gadgets平台没有得到高度重视或广泛使用(尽管可能将前所未有的功能和Web特性直接集成到桌面中),而不是做任何尝试来保护用户免受恶意小工具的侵害,他们只是停止使用它们。随着Windows中用户界面,Mac和Android的发展方向,普通用户越来越不了解应用程序(或插件)实际上如何做它正在做的事情,因此不必要的,机会主义的甚至是不需要的恶意应用仍在继续我一直在小工具规范中来回回顾,并且就我所知,它并不比Chrome和FireFox使用的插件系统更不安全。

在小工具中执行ActiveX和Java受Internet Explorer中的安全设置的约束。如果您的安全设置允许小工具执行某些操作,则大部分这些功能都可以在插件或Java应用程序中使用。

我读过的分析师报告表明,这些漏洞已在“大多数现代浏览器”中修补,但显然不适用于Internet Explorer,因为我见过的每个小工具漏洞也可以在IE浏览器。

总之,这里是错误的ActiveX,Java和其他插件的“切换开关”样式处理。为了免除用户无休止的提示,并且不需要做出明智的决定,微软仍然会让不知情或粗心的用户对恶意网络应用程序和插件开放。

信任证书&安全修补程序对于中断此功能将大大优于此。

来源

2013-11-30 22:18:29 ProphetZarquon

2

正如我所看到的,我认为安全问题是一个烟幕。这些“安全问题”存在于许多媒介和小工具中,如果它们是这样的问题,早在Windows 8发布之初就会得到解决。我认为小工具被抛弃是因为它们是Windows 8平板电脑。它让我想起丝带界面是如何“揭露深埋的功能”的,当我认为实际上微软真的在计划一个触摸界面。所以,无论微软为做什么而给出的“借口”,我倾向于寻求更深层次的目的。希望这将随着新的管理而改变。有谁知道是否可以在Windows 8.1上安装某种小工具平台?谢谢!

来源

2014-11-21 21:20:40

相关问题

 相关问题