服务器代维,美国高防cdn,服务器安全维护 -
吴天是个专业的运维工作者,一个设计爱好者的博客,也是所有草根站长学习升级,设计爱好者互相学习的交流平台!

联想驱动控件远程代码执行

危险说明
        联想官方提供的远程更新驱动控件存在安全问题,可能导致攻击者利用该控件在联想机器上执行恶意程序。
        引用的驱动页面为:http://219.142.122.159/IdeaEDriver/driver.html

漏洞证明:
http://219.142.122.159/IdeaEDriver/driver.html

在js/driver.js里
        客户端需要更新的驱动和信息都由任意的第三方制定,攻击者只要使用将信息来源指定为自己可控的地方就可以实现攻击了。
        最简单的就是挂马了 写个js定义好address然后调用控件,将信息来源指定为自己可控的地方就可以了。

修复方案:

将驱动的更新来源限制为联想官方自己域名并且不允许第三方自定义


标签:
分类:最新服务器技术| 发布:服务器代维| 查看: | 发表时间:2013-8-10
原创文章如转载,请注明:转载自服务器代维,美国高防cdn,服务器安全维护 http://www.3306safe.com/
本文链接:http://www.3306safe.com/html/23.html

已经有 ( 0 ) 位网友发表了评论,你也评一评吧!

Design By 服务器安全 | Power By 服务器代维