其他
奇安信代码安全实验室协助微软修复高危漏洞 获官方致谢
奇安信代码安全实验室研究员为微软发现两个漏洞(CVE-2020-17038和CVE-2020-17030),其中CVE-2020-17038为“高危”级别。研究员第一时间向微软报告并协助其修复漏洞。
图 微软官方致谢
漏洞简述
CVE-2020-17038 – Win32k 提权漏洞
低权限的本地攻击者在无需用户交互的情况下,即可触发该漏洞,提升攻击者的权限。微软对该漏洞的可利用性评估是“较有可能被利用”,即更可能被攻击者利用,相关用户应该将其设为较高优先级。
CVE-2020-17030 — Windows MSCTF Server信息泄漏漏洞
低权限的本地攻击者在无需用户交互的情况下,即可引发信息泄漏,使攻击者获得进一步攻陷受影响系统的信息。
微软已解决这两个漏洞问题,用户应尽快予以更新。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17030
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17038
关于奇安信代码卫士
基于奇安信代码安全实验室多年的技术积累,奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测1300多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。
奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统,通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况, 及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别4000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。