关于CNVD发布“火绒安全软件存在可信路径权限提升漏洞”...
今日,CNVD发出关于“火绒安全软件存在可信路径权限提升漏洞”的信息后,火绒工程师立即进行紧急排查,现将结果公布如下:1、经查看,所述漏洞并不是火绒安全软件上的漏洞,而是微软运行时库为兼容不同版本Windows运行环境所设置的兼容逻辑,利用该逻辑可以实现对几乎任意软件的劫持。
然而用户不必担心,劫持的前提条件需要恶意代码(劫持动态库)被提前植入系统,或与被劫持程序放在相同目录。因此,火绒也建议大家,安装系统后尽早安装安全软件,可有效解决此类恶意代码问题。
2、截至到发稿前,火绒方面未曾收到来自CNVD包括邮件在内的任何形式通知,因此并没有机会在有效的时间内进行沟通。
3、火绒作为一家安全厂商,一直在致力于维护终端安全。如果大家在使用火绒产品过程中发现任何问题,可随时前往火绒官方论坛反馈,我们会在第一时间内跟进处理。
4、随后,火绒会就该事件尝试联系CNVD进行沟通。
2019-11-2火绒安全团队
官方大大辛苦 既深圳网警后,火绒即将再次打脸CNVD https://www.cnvd.org.cn/flaw/show/CNVD-2019-36904
上面链接里下边儿的回复是工作人员吧?不明白,这种问题已经算是DLL劫持了,DLL加载的时候不校验就使用,这种容易造成DLL劫持,从而被白利用吧?
今日,CNVD发出关于“火绒安全软件存在可信路径权限提升漏洞”的信息后,火绒工程师立即进行紧急排查,现将结果公布如下:
1、经查看,所述漏洞并不是火绒安全软件上的漏洞,而是微软运行时库为兼容不同版本Windows运行环境所设置的兼容逻辑,利用该逻辑可以实现对几乎任意软件的劫持。
然而用户不必担心,劫持的前提条件需要恶意代码(劫持动态库)被提前植入系统,或与被劫持程序放在相同目录。因此,火绒也建议大家,安装系统后尽早安装安全软件,可有效解决此类恶意代码问题。
2、截至到发稿前,火绒方面未曾收到来自CNVD包括邮件在内的任何形式通知,因此并没有机会在有效的时间内进行沟通。
3、火绒作为一家安全厂商,一直在致力于维护终端安全。如果大家在使用火绒产品过程中发现任何问题,可随时前往火绒官方论坛反馈,我们会在第一时间内跟进处理。
4、随后,火绒会就该事件尝试联系CNVD进行沟通。
2019-11-2
火绒安全团队另外,公关的1、2、3、4点,都不提出会对加载流程进行改进之类的么?
{:6_213:} 辛苦,辛苦
这要是阿三系统的锅 找火绒也解决不了...
本身在安装火绒之前就被做了手脚的话 要处理就很麻烦了 ihuorong007 发表于 2019-11-3 00:28
https://www.cnvd.org.cn/flaw/show/CNVD-2019-36904
上面链接里下边儿的回复是工作人员吧?不明白,这种问 ...
调用任何API都是背后有相应的DLL引入的,所以假设你的程序使用了MessageBox,那么user32.dll就会被引入,如果仿冒一个user32.dll放在被劫持软件同目录,那就可以做到劫持,这是白利用没错,但是:
1. 首先,不可能对每个API调用都进行校验,DLL同样的因为确实没有必要。
2. 安全软件本身是解决恶意代码问题的,所以声明里面也说明了,用户安装好系统应及早安装安全软件,以避免类似劫持的情况发生。
3. 最后,这个劫持的前提条件是,用来劫持的恶意动态库要么先植入系统(在dll search path下),要么和被劫持的程序放在同一目录。对于前一种情况,这话题本身就是悖论,对于后一种情况,参考2。
另外,原帖后面的回复不是官方回帖的,我们会通过邮件和CNVD沟通,因为流程上来说CNVD在公开信息前,会给厂商发邮件,但这次我们并没有收到任何通知,所以被迫采取这种声明的方式处理。 vardyh 发表于 2019-11-4 10:07
调用任何API都是背后有相应的DLL引入的,所以假设你的程序使用了MessageBox,那么user32.dll就会被引入, ...
这个又是什么鬼?
https://www.cnvd.org.cn/flaw/show/CNVD-2019-28295 纷扰的互联网 发表于 2019-11-4 18:44
这个又是什么鬼?
https://www.cnvd.org.cn/flaw/show/CNVD-2019-28295
这个当时就升级解决了。"program files" => "program.exe" 收到{:6_192:} vardyh 发表于 2019-11-4 10:07
调用任何API都是背后有相应的DLL引入的,所以假设你的程序使用了MessageBox,那么user32.dll就会被引入, ...
关键是火绒软件的程序目录写入保护有没有问题?
页:
[1]