偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

谷歌修復(fù)了VirusTotal平臺的高危RCE漏洞

安全 漏洞
安全研究人員披露了一個 VirusTotal 平臺的安全漏洞,攻擊者有可能利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)。VirusTotal 平臺是谷歌子公司 Chronicle 的一部分,主要提供惡意軟件掃描服務(wù),能夠分析可疑文件和URL,并使用 70 多個第三方防病毒產(chǎn)品檢查病毒。

安全研究人員披露了一個 VirusTotal 平臺的安全漏洞,攻擊者有可能利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)。

VirusTotal 平臺是谷歌子公司 Chronicle 的一部分,主要提供惡意軟件掃描服務(wù),能夠分析可疑文件和URL,并使用 70 多個第三方防病毒產(chǎn)品檢查病毒。

漏洞已修補(bǔ)

與 The Hacker News 獨(dú)家分享時,Cysource 的安全研究人員 Shai Alfasi 和Marlon Fabiano da Silva 透露,該漏洞被追蹤為 CVE-2021-22204(CVSS評分:7.8),是 ExifTool 對 DjVu 文件的錯誤處理引起的任意代碼執(zhí)行,其維護(hù)者在 2021年 4 月 13 日發(fā)布的安全更新中,已經(jīng)對漏洞進(jìn)行了修補(bǔ)。

網(wǎng)絡(luò)攻擊者利用該漏洞的方法主要是通過 VirusTotal 平臺的網(wǎng)絡(luò)用戶界面上傳一個DjVu文件,利用它來觸發(fā) ExifTool 的高嚴(yán)重性遠(yuǎn)程代碼執(zhí)行漏洞。(ExifTool:一個用于讀取和編輯圖像和PDF文件中EXIF元數(shù)據(jù)信息的開源工具)

另外,研究人員指出,攻擊者成功利用漏洞后,不僅僅能夠獲得谷歌控制環(huán)境的訪問權(quán)限,還獲得了 50 多個具有高級權(quán)限的內(nèi)部主機(jī)的訪問權(quán)限。

值得一提的是,研究人員在上傳一個包含新有效載荷的新哈希值文件時,VirusTotal 平臺都會將該有效載荷轉(zhuǎn)發(fā)給其他主機(jī)。因此研究人員推測,這不僅僅是一個 RCE問題,而且它還被 Google 的服務(wù)器轉(zhuǎn)發(fā)到 Google 的內(nèi)部網(wǎng)絡(luò)、以及客戶和合作伙伴。

這不是 ExifTool 漏洞第一次作為實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的渠道,去年,GitLab 也修復(fù)了一個關(guān)鍵漏洞(CVE-2021-22205,CVSS評分:10.0),該漏洞與用戶提供的圖像驗(yàn)證不當(dāng)有關(guān),最終導(dǎo)致任意代碼執(zhí)行。

責(zé)任編輯:未麗燕 來源: FreeBuf.com
相關(guān)推薦

2022-02-12 16:30:02

WordPress安全漏洞插件

2016-01-31 16:49:42

漏洞Galaxy

2020-11-04 14:55:06

谷歌GitHub漏洞

2022-03-30 09:09:39

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2022-05-06 14:40:32

漏洞補(bǔ)丁Android

2009-08-27 09:25:33

GoogleChrome高危漏洞Mozilla

2020-11-21 19:30:48

GitHub代碼開發(fā)者

2021-03-06 09:50:43

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2015-12-10 10:13:22

2022-07-27 11:58:46

漏洞ICS平臺

2022-02-14 07:54:27

漏洞WordPress

2020-12-09 09:32:03

漏洞黑客瀏覽器

2022-02-17 11:54:18

漏洞數(shù)據(jù)庫惡意代碼

2010-06-01 09:03:58

2015-07-09 13:46:15

漏洞OpenSSL

2021-09-14 10:19:28

蘋果漏洞iOS

2022-06-29 08:13:36

漏洞網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2023-03-15 18:08:08

2020-11-08 13:49:27

漏洞GitHub谷歌

2022-05-27 17:30:46

漏洞網(wǎng)絡(luò)攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號