PTT數位生活區 / PC_Shopping (個人電腦購買)

[情報] 白帽駭客直接在網路公開微軟Windows 11

看板PC_Shopping (個人電腦購買)作者 (ilinker)時間3年前 (2021/12/13 20:57), 編輯推噓24(27332)
留言62則, 37人參與, 3年前最新討論串1/1
白帽駭客直接在網路公開微軟Windows 11高危險漏洞,只因懸賞獎金打骨折 量子位 量子位 發表於 2021年12月13日 14:00 各家作業系統以及大廠,都有準備一筆懸賞漏洞的賞金,鼓勵白帽駭客幫企業找到漏洞, 並且在漏洞被公布之前,廠商可以搶先將漏洞修補起來,皆大歡喜。 不過,最近GitHub 上突然有人上傳了一個可以利用Windows 11 最新漏洞的辦法,幾天之 內暴漲 1300 多個星星。那麼,發現漏洞不是可以報告給微軟來領取高額賞金,他怎麼不 要了?按這位駭客自己的說法「現在微軟的賞金已成了垃圾」。 微軟漏洞發現賞金現已大幅縮水,曾有白帽駭客抱怨本來該獲得 1 萬美元的漏洞,最後 只拿到 1 千美元,直接縮水 90%。 這次的這位駭客 Naceri 也很失望,索性剩下那點錢也不要了,直接公開算了。 透過這個漏洞,惡意程式能在幾秒內獲得管理員權限,完全掌控你的你電腦。漏洞出在 Windows Installer Service 上,就是用.MSI 檔案安裝和移除軟體時用到的功能。 Naceri 在 GitHub 頁面上說漏洞會影響到最新的 Windows 11 和伺服器版 Windows Server 2022。 不過安全技術網站 Bleeping Computer 測試發現,現在最普及的 Windows 10 也逃不過 。現在,思科安全情報團隊 Talos 也已經偵測到了利用這個漏洞的惡意程式。 微軟漏洞懸賞縮水這件事對白帽駭客們積極度有很大的影響。 另一位發現了 Hyper-V 虛擬機漏洞的老選手,就在Twitter上直呼新規定「不公平!」 按照微軟懸賞計畫公開的說法,此類漏洞賞金上限可達 25 萬美元,結果他只拿到了 5000 美元。 白帽駭客因微軟摳門憤而公開漏洞這事也不是第一次發生。 去年 9 月,一位長期從事漏洞挖掘的研究者 Lykkegaard 發現了能在 System32 目錄裡 加入任意檔案的方法,而且一旦寫入就無法再刪除或修改。 這是相當嚴重的一個 Bug,但他選擇直接公開,因為當時微軟還拖欠他之前的賞金長達 7 個月。 Lykkegaard 找到這個漏洞花了 30 個小時,按照縮水後的規則只能拿到 2 千美元。他一 算這時薪才 66 美元,關鍵還不一定能拿得到,實在不值得。 公開漏洞是雙面刃 公開漏洞是一把雙面刃,雖然可能被人惡意利用,但也能讓更多第三方技術高手參與修復 。 不過,Naceri 這一次發現的漏洞卻不是那麼好修復的。 其實這次與 Windows Installer 相關的漏洞,微軟已經發布過一次更新。 結果這個更新非但沒能完全解決問題,還引發了更複雜的漏洞。 白帽駭客 Naceri 這次公開的實際就是繞過上一個安全更新的辦法,而且他警告再次嘗試 修復可能帶來額外的問題。 不建議第三方嘗試修補二進制檔案,可能會破壞 Windows Installer。所幸的是,第三方 社群 0patch 還是在幾天之後成功製作並發布了更新,如果你擔心遇到攻擊,可以到透過 0patch 服務安裝更新。更新網址:https://0patch.com 至於微軟自己,有什麼說法? 「我們知悉有關資料披露,並會採取一切必要措施,確保客戶的安全和保障。使用上述方 法的攻擊者必須已經具備在目標受害者的機器上執行程式的權限和能力。」 翻譯一下大概是:「別催了,我們會改。」 https://tinyurl.com/vm6e5jcb Azure和企業用Microsoft 365賺到爛了還這麼摳門 -- 作者 kech9111 (...) 看板 Gossiping 標題 [問卦] 有沒有亞洲只剩台灣沒有知名樂園的八卦? 時間 Wed Dec 24 19:18:26 2014
12/24 19:19,
你把5566放在哪
12/24 19:19
12/24 19:19,
......看錯
12/24 19:19
12/24 19:19,
....要介紹眼鏡行嗎?
12/24 19:19
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.39.136 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1639400220.A.3C5.html
12/13 21:01, 3年前 , 1F
這種錢對微軟來說連一根鼻毛都不如
12/13 21:01, 1F
12/13 21:04, 3年前 , 2F
讓人生氣啊…..M$
12/13 21:04, 2F
12/13 21:07, 3年前 , 3F
w11強制合併工作列,強制合併右鍵
12/13 21:07, 3F
12/13 21:07, 3年前 , 4F
,一堆快捷鍵消失,檔案不能拖拉到
12/13 21:07, 4F
12/13 21:07, 3年前 , 5F
工作列裡的視窗,一大堆讓我工作效
12/13 21:07, 5F
12/13 21:07, 3年前 , 6F
率大減,到底要不要改
12/13 21:07, 6F
12/13 21:08, 3年前 , 7F
I missed the part where that's
12/13 21:08, 7F
12/13 21:08, 3年前 , 8F
my problem
12/13 21:08, 8F
12/13 21:14, 3年前 , 9F
快捷鍵問題你可以考慮裝PowerToys看
12/13 21:14, 9F
12/13 21:14, 3年前 , 10F
12/13 21:14, 10F
12/13 21:23, 3年前 , 11F
M$:CEO換印度人當然是用盧比啊~
12/13 21:23, 11F
12/13 21:23, 3年前 , 12F
MS的使用者合約到底寫什麼?
12/13 21:23, 12F
12/13 21:24, 3年前 , 13F
是不是都不能告MS洩個人資料
12/13 21:24, 13F
12/13 21:24, 3年前 , 14F
什麼時候才能有一點開就一大片分好
12/13 21:24, 14F
12/13 21:25, 3年前 , 15F
群組的釘選捷徑的開始選單像Win8或
12/13 21:25, 15F
12/13 21:25, 3年前 , 16F
Win10的那種?
12/13 21:25, 16F
12/13 21:27, 3年前 , 17F
蘋果也這樣越有錢越摳門
12/13 21:27, 17F
12/13 21:27, 3年前 , 18F
微軟省這點錢有什麼意思 幾秒就賺
12/13 21:27, 18F
12/13 21:27, 3年前 , 19F
回來的東西
12/13 21:27, 19F
12/13 21:41, 3年前 , 20F
我電腦沒在插網路的根本不怕
12/13 21:41, 20F
12/13 22:03, 3年前 , 21F
右鍵改登錄檔有解 要GOOGLE一下
12/13 22:03, 21F
12/13 22:03, 3年前 , 22F
工作列合併就真的很煩
12/13 22:03, 22F
12/13 22:07, 3年前 , 23F
你他媽微軟是缺那點錢嗎
12/13 22:07, 23F
12/13 22:26, 3年前 , 24F
省這點小錢真的腦袋撞到
12/13 22:26, 24F
12/13 22:30, 3年前 , 25F
物以稀為貴 漏洞也是
12/13 22:30, 25F
12/13 22:30, 3年前 , 26F
漏洞太多導致價值下跌(X
12/13 22:30, 26F
12/13 22:34, 3年前 , 27F
蘋果不是直接當沒收到回報?xD
12/13 22:34, 27F
12/13 22:35, 3年前 , 28F
越有錢越摳是走向失敗
12/13 22:35, 28F
12/13 22:38, 3年前 , 29F
沒辦法,漏洞太多,虧太大
12/13 22:38, 29F
12/13 22:45, 3年前 , 30F
說話不算的垃圾微軟:(
12/13 22:45, 30F
12/13 22:53, 3年前 , 31F
漏洞不影響股價,其實不用修沒差
12/13 22:53, 31F
12/13 22:54, 3年前 , 32F
獎金直接縮水90%,騙 偷襲 不講武德
12/13 22:54, 32F
12/13 23:19, 3年前 , 33F
沒有獎金沒有漏洞
12/13 23:19, 33F
12/13 23:26, 3年前 , 34F
省了9000美元欸
12/13 23:26, 34F
12/13 23:48, 3年前 , 35F
你已經成為正版軟體受害者
12/13 23:48, 35F
12/14 00:55, 3年前 , 36F
Windows Installer 這麼常用到的的
12/14 00:55, 36F
12/14 00:55, 3年前 , 37F
東西有嚴重漏洞 笑死
12/14 00:55, 37F
12/14 01:00, 3年前 , 38F
0patch那個根本就是防毒軟體的概念
12/14 01:00, 38F
12/14 01:00, 3年前 , 39F
,列出一堆漏洞,然後免費版只能防
12/14 01:00, 39F
12/14 01:00, 3年前 , 40F
一部分,付費才能防全部,問題是一
12/14 01:00, 40F
12/14 01:00, 3年前 , 41F
個4MB左右的程式要怎麼修復300多個
12/14 01:00, 41F
12/14 01:00, 3年前 , 42F
漏洞?
12/14 01:00, 42F
12/14 05:19, 3年前 , 43F
巨硬摳不意外 看看軟體offer多少侮
12/14 05:19, 43F
12/14 05:19, 3年前 , 44F
辱包
12/14 05:19, 44F
12/14 07:04, 3年前 , 45F
微軟在乎資安?嘻嘻
12/14 07:04, 45F
12/14 08:36, 3年前 , 46F
再多漏洞你們還不是乖乖用windows
12/14 08:36, 46F
12/14 08:52, 3年前 , 47F
是時候跳Linux了嗎 反正有proton
12/14 08:52, 47F
12/14 08:52, 3年前 , 48F
其實很多遊戲還是可以玩
12/14 08:52, 48F
12/14 09:43, 3年前 , 49F
蓋子一秒賺得錢都比25萬多,微軟越
12/14 09:43, 49F
12/14 09:43, 3年前 , 50F
來越不行了?
12/14 09:43, 50F
12/14 10:43, 3年前 , 51F
Wine+DXVK+D3DVK能玩大部份遊戲。
12/14 10:43, 51F
12/14 10:44, 3年前 , 52F
不過他利用這點搞惡意軟件,豈不是
12/14 10:44, 52F
12/14 10:45, 3年前 , 53F
可以賺得比當white hat多?
12/14 10:45, 53F
12/14 12:28, 3年前 , 54F
M$當家的都換人了,不意外
12/14 12:28, 54F
12/14 16:12, 3年前 , 55F
微軟Bounty前兩年可能發太多錢了所
12/14 16:12, 55F
12/14 16:12, 3年前 , 56F
以去年改了規則,之前應該不少人都
12/14 16:12, 56F
12/14 16:12, 3年前 , 57F
刷了上千萬台幣
12/14 16:12, 57F
12/14 16:13, 3年前 , 58F
但微軟Bounty還是很看Team,我今年
12/14 16:13, 58F
12/14 16:13, 3年前 , 59F
初報的爛洞還是有拿到三萬美金
12/14 16:13, 59F
12/15 09:59, 3年前 , 60F
12/15 09:59, 60F
12/15 14:28, 3年前 , 61F
一毛不拔的垃圾血汗公司
12/15 14:28, 61F
12/16 12:01, 3年前 , 62F
一千美不要可以給我
12/16 12:01, 62F
更多 hn9480412 的文章
文章代碼(AID): #1XjqCSF5 (PC_Shopping)
PC_Shopping 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 hn9480412 的文章
文章代碼(AID): #1XjqCSF5 (PC_Shopping)