在最近的安全公告,微軟警告說,「漏洞的小工具可能允許遠程執行代碼」:什麼是「小工具漏洞」?
攻擊誰成功利用小工具漏洞可能會在當前用戶的上下文中運行任意代碼。
(Microsoft Security Advisory 2719662)
我真的不明白這一點。據我所知,小工具是基於HTML的應用程序(通過設計)以完全信任的方式運行!
完全信任
運行小工具的選擇呈現給在相同的方式,選擇運行從互聯網上下載任何應用程序呈現給用戶。關於小工具作者的信息顯示在一個對話框中,表明存在與此文件相關的風險。用戶接受警告後,該小工具將以與用戶的登錄帳戶關聯的所有權限運行。
(MSDN: Gadgets for Windows Sidebar Security)
例如,沒有什麼能阻止你加入
<script language="VBScript">
Set shell = CreateObject("Wscript.Shell")
shell.Run "notepad.exe"
</script>
,並從您的小工具執行任意命令。 This works and it's by design.
顯然,他們可以完成在本地用戶環境中運行的另一個應用程序可以執行的任何操作。那麼,MS Security Advisory的漏洞在哪裏提到哪些「可以被利用」?
顯然,小工具代碼本身是有限的JavaScript,但隨後在小工具子系統中存在一個漏洞,允許執行隨機代碼,而不限於JS macnine。 – GSerg 2012-07-15 09:33:14
@GSerg:小工具中的JavaScript/VBScript與[HTA](http://en.wikipedia.org/wiki/HTML_Application)中的JavaScript/VBScript具有相同的功能,例如[它可以啓動任意應用程序](http: //blogs.technet.com/b/heyscriptingguy/archive/2005/10/31/how-can-i-start-an-application-from-an-hta.aspx)那麼,如果語言本身允許你執行任意代碼,那麼「利用」又有什麼意義呢? – Heinzi 2012-07-15 09:42:40
PS:我故意決定發佈這個到StackOverflow而不是SuperUser,因爲它更可能是一個小工具*開發人員*可以回答這個問題,而不是一個小工具*用戶*。 – Heinzi 2012-07-15 09:44:26