聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
0patch 平台为 Windows Contacts app 推出0day 漏洞的微补丁。该漏洞可导致远程任意代码执行。
该漏洞是由安全研究员 John Page 通过 ZDI 项目提交的,它存在于存储联系信息(.VCF 和 .Contact)文件在易受攻击系统上的处理方式中,影响 Windows Vista 版本10及之前版本。
恶意 contact 卡
Page 在安全公告中指出,“该缺陷产生的原因在于对“.contact”文件节点参数的处理方式,它取的是预期的网站值;然而,如果攻击者引用的是可执行文件,那么它就会在未警告的情况下运行,而不会执行预期的 web 导航操作。”
Kolsek 解释称,该形参被用作 ShellExecute 调用的实参。在默认浏览器中打开URL时,ShellExecute 试图在本地计算机中定位字符串并启动,但这种行为不会提前警告用户。
攻击者能够通过恶意 payload 在子目录中构建 contact 文件。当受害者点击 contact 文件中的链接时,恶意软件就会在系统上执行。Page 在演示视频中展示了通过‘.com’扩展伪装的可执行恶意软件,当受害者点击 contact 卡中的链接(网站或邮件地址链接等)时就会启动。
Kolsek 表示,0patch 推出的修复方案只是官方补丁推出前的一种临时解决方案。然而,由于微软已宣布不会修复该问题,因此这个微补丁似乎已成为一种永久的解决方案。
推荐阅读
刚刚,黑客发布了第四枚 Windows 0day 的 PoC
原文链接
https://www.bleepingcomputer.com/news/security/windows-contacts-remote-code-execution-zero-day-gets-micropatch/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。