1. 首頁
  2. 問答
  3. 什麼是「小工具漏洞」?

什麼是「小工具漏洞」?

2012-07-15 127 views
6

在最近的安全公告,微軟警告說,「漏洞的小工具可能允許遠程執行代碼」:什麼是「小工具漏洞」?

攻擊誰成功利用小工具漏洞可能會在當前用戶的上下文中運行任意代碼。

Microsoft Security Advisory 2719662

我真的不明白這一點。據我所知,小工具是基於HTML的應用程序(通過設計)以完全信任的方式運行!

完全信任

運行小工具的選擇呈現給在相同的方式,選擇運行從互聯網上下載任何應用程序呈現給用戶。關於小工具作者的信息顯示在一個對話框中,表明存在與此文件相關的風險。用戶接受警告後,該小工具將以與用戶的登錄帳戶關聯的所有權限運行。

MSDN: Gadgets for Windows Sidebar Security

例如,沒有什麼能阻止你加入

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell") 
    shell.Run "notepad.exe" 
</script>

,並從您的小工具執行任意命令。 This works and it's by design.

顯然,他們可以完成在本地用戶環境中運行的另一個應用程序可以執行的任何操作。那麼,MS Security Advisory的漏洞在哪裏提到哪些「可以被利用」?

來源

2012-07-15 Heinzi

+0

顯然,小工具代碼本身是有限的JavaScript,但隨後在小工具子系統中存在一個漏洞,允許執行隨機代碼,而不限於JS macnine。 – GSerg 2012-07-15 09:33:14

+1

@GSerg:小工具中的JavaScript/VBScript與[HTA](http://en.wikipedia.org/wiki/HTML_Application)中的JavaScript/VBScript具有相同的功能,例如[它可以啓動任意應用程序](http: //blogs.technet.com/b/heyscriptingguy/archive/2005/10/31/how-can-i-start-an-application-from-an-hta.aspx)那麼,如果語言本身允許你執行任意代碼,那麼「利用」又有什麼意義呢? – Heinzi 2012-07-15 09:42:40

+1

PS:我故意決定發佈這個到StackOverflow而不是SuperUser,因爲它更可能是一個小工具*開發人員*可以回答這個問題,而不是一個小工具*用戶*。 – Heinzi 2012-07-15 09:44:26

回答

0

這些襲擊發生在這樣:

  1. 攻擊者必須誘使用戶安裝並啓用一個脆弱的小工具
  2. 攻擊誰成功利用小工具漏洞獲得相同的用戶權限登錄的用戶。如果用戶使用管理用戶權限登錄,則成功利用此漏洞的攻擊者可以完全控制受影響的系統。然後攻擊者可以安裝程序;查看,更改或刪除數據;或創建具有完整用戶權限的新帳戶。

如你所見,如果你安裝了一個易受攻擊的小工具,現在告訴我誰授權你的小工具?在世界野生網上有很多很多假冒小玩意兒..小心點。

也是微軟有一個修復程序來禁用邊欄和小工具,你可以在這個環節發現: microsoft advisory

,他們殺害了在Windows 8

來源

2012-08-17 06:30:23

+3

謝謝,但它仍然沒有回答這個問題:什麼使小工具「脆弱」?這種感覺就像是說「用戶可以在他的電腦上安裝易受攻擊的軟件,所以我們不允許軟件安裝」......我仍然沒有看到什麼使得一個小工具比從互聯網下載的任何其他應用程序更「脆弱」。 – Heinzi 2012-08-17 07:06:39

+0

似乎攻擊者不一定需要執行#1,因爲用戶可能在他們的機器上已經存在易受攻擊的小工具。我猜這就是問題所在......太多主流的合法小工具都有安全漏洞。我遇到了這個文檔(PDF),詳細描述了[ITN新聞小工具](https://labs.mwrinfosecurity)中的一個漏洞。COM /系統/資產/ 193 /原廠/ mwri_itn-新聞小工具 - advisory_2008-02-04.pdf) – MrWhite 2013-10-04 13:19:37

0

我很欣賞你找到確切的細節,小工具和側邊欄,這裏是其中由微軟關閉小工具黑客提出相應的文章:

We have you by the gadgets - Black Hat(PDF文件)

來源

2012-08-17 07:55:49

+0

我讀過的文章,但沒有找到任何*具體*漏洞有文件檔案,並沒有這不是*設計*(例如:「這小玩意暴露的風險是一樣的所面臨的任何基於web基於應用程序「或」小工具的開發方式與傳統軟件幾乎相同「)。因此我的問題在這裏。 ;-) – Heinzi 2012-08-17 08:02:15

6

井「小工具vulnerabil兩者均」這樣的問題:

該小工具暴露於是相同的所面臨的任何基於web的應用程序 ,例如風險中間人或代碼注入。在早期版本的大多數瀏覽器,但現代的瀏覽器專門實施的控制措施,以試圖減輕許多問題存在類似的問題。這些控制措施尚未在小工具平臺中實施,從而使它們容易受到衆所周知和徹底討論的攻擊。
- 我們有你在的小工具,黑帽。

所以你可以看到主要的漏洞是沒有控制來限制運行代碼中的小工具而沒有任何限制。

另一個問題:

微軟曾表示,它已發現了一些Vista和Win7小工具不符合安全編碼實踐,應該被視爲造成 風險上,他們是系統跑。

所以確實運行任意代碼是HTA的,但因爲側邊欄和小工具平臺並沒有減輕它,是相當悲觀的,認爲所有小工具的程序員可以編寫安全的代碼,不會嘗試利用或做兼職小工具不應該做的事情。

希望這回答了你的要求。

我仍然認爲這個問題是相當模糊的,因爲你說:很好,他們允許運行任意代碼和它的模型和概念的一部分,他們沒有減少它有啥漏洞?它已經被利用... - 這是整個想法:)

它可以被問及每一個缺陷和攻擊,這正是問題 - 這是在設計上的問題,是不安全的,因爲沒有發現,因爲沒有緩解因爲你真的能夠沒有問題運行並執行惡意代碼,這些小工具有缺陷。

來源

2012-08-19 09:46:24 TheNewOne

2

約定,小工具平臺似乎是不大於如果用戶執行的未簽名應用更多或更少的脆弱。

爲什麼相同的系統級執行預防措施,啓發式分析&應用於其他方法的應用程序無法應用於小工具,這讓我感到神祕。

微軟的這種懶惰:Gadgets平臺沒有得到高度重視或廣泛使用(儘管可能將前所未有的功能和Web特性直接集成到桌面中),而不是做任何嘗試來保護用戶免受惡意小工具的侵害,他們只是停止使用它們。隨着Windows中用戶界面,Mac和Android的發展方向,普通用戶越來越不瞭解應用程序(或插件)實際上如何做它正在做的事情,因此不必要的,機會主義的甚至是不需要的惡意應用仍在繼續我一直在小工具規範中來回回顧,並且就我所知,它並不比Chrome和FireFox使用的插件系統更不安全。

在小工具中執行ActiveX和Java受Internet Explorer中的安全設置的約束。如果您的安全設置允許小工具執行某些操作,則大部分這些功能都可以在插件或Java應用程序中使用。

我讀過的分析師報告表明,這些漏洞已在「大多數現代瀏覽器」中修補,但顯然不適用於Internet Explorer,因爲我見過的每個小工具漏洞也可以在IE瀏覽器。

總之,這裏是錯誤的ActiveX,Java和其他插件的「切換開關」樣式處理。爲了免除用戶無休止的提示,並且不需要做出明智的決定,微軟仍然會讓不知情或粗心的用戶對惡意網絡應用程序和插件開放。

信任證書&安全修補程序對於中斷此功能將大大優於此。

來源

2013-11-30 22:18:29 ProphetZarquon

2

正如我所看到的,我認爲安全問題是一個煙幕。這些「安全問題」存在於許多媒介和小工具中,如果它們是這樣的問題,早在Windows 8發佈之初就會得到解決。我認爲小工具被拋棄是因爲它們是Windows 8平板電腦。它讓我想起絲帶界面是如何「揭露深埋的功能」的,當我認爲實際上微軟真的在計劃一個觸摸界面。所以,無論微軟爲做什麼而給出的「藉口」,我傾向於尋求更深層次的目的。希望這將隨着新的管理而改變。有誰知道是否可以在Windows 8.1上安裝某種小工具平臺?謝謝!

來源

2014-11-21 21:20:40

相關問題

 相關問題