GitHub上突然有人上传了一个Win11最新漏洞的利用办法,几天之内暴涨1300多星。
微软漏洞发现赏金现已大幅缩水,曾有白帽黑客抱怨本来该获得1万美元的漏洞,最后只拿到1千美元,直接缩水90%。
这次的这位黑客Naceri也很失望,索性剩下那点钱也不要了,直接公开算了。
通过这个漏洞,恶意程序能在几秒内获得管理员权限,能在你电脑上为所欲为的那种。
另一位发现了Hyper-V虚拟机漏洞的老选手就在推特上直呼新规定“不公平!”
按照微软悬赏计划公开的说法,此类漏洞赏金上限可达25万美元,结果他只拿到了5000美元。
去年9月,一位长期从事漏洞挖掘的研究者Lykkegaard发现了能在System32目录添加任意文件的方法,而且一旦写入就无法再删除或修改。
相当严重的一个Bug,他选择直接给公开了,因为当时微软还拖欠他之前的赏金长达7个月。
Lykkegaard找到这个漏洞用了30个小时,按照缩水后的规则只能拿到2千美元。
公开漏洞是一把双刃剑,虽然可能被人恶意利用,但也能让更多第三方技术高手参与修复。
其实这次与Windows Installer相关的漏洞,微软已经发布过一次补丁。
白帽黑客Naceri这次公开的实际就是绕过上一个安全补丁的办法,而且他警告再次尝试修复可能带来额外的问题。
不建议第三方尝试修补二进制文件,可能会破坏Windows Installer。
不建议第三方尝试修补二进制文件,可能会破坏Windows Installer。
如果你担心遇到攻击,可以到通过0patch服务安装补丁,地址在文章结尾。
我们知悉有关资料披露,并会采取一切必要措施,确保客户的安全和保障。使用上述方法的攻击者必须已经具备在目标受害者的机器上运行代码的权限和能力。
我们知悉有关资料披露,并会采取一切必要措施,确保客户的安全和保障。使用上述方法的攻击者必须已经具备在目标受害者的机器上运行代码的权限和能力。
张亚勤教授邀你参加「MEET智能未来大会」,与大咖嘉宾、AI从业者共同探讨智能科技新未来!江南体育平台
