ASLR-käyttäytyminen Windows 10:ssä on ominaisuus: Microsoft
2 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Olemme äskettäin raportoitu ASLR-virheestä, jonka Carnegie Mellonin yliopiston turvallisuustutkija Will Dormann löysi.
Hän sanoi :
Sekä EMET että Windows Defender Exploit Guard mahdollistavat järjestelmän laajuisen ASLR:n ilman, että järjestelmän laajuinen alhaalta ylöspäin suuntautuva ASLR otetaan käyttöön. Vaikka Windows Defender Exploit -suojassa on järjestelmän laajuinen vaihtoehto järjestelmän laajuiselle alhaalta ylös -ASLR:lle, oletuskäyttöliittymän oletusarvo "On oletusarvoisesti" ei vastaa taustalla olevaa rekisteriarvoa (ei asetettu). Tämä aiheuttaa ohjelmien, joissa ei ole /DYNAMICBASEa, sijaintia, mutta ilman entropiaa. Tämän seurauksena tällaiset ohjelmat siirretään, mutta samaan osoitteeseen joka kerta uudelleenkäynnistyksen ja jopa eri järjestelmien välillä.
Mutta vastauksena Dormannin väitteisiin Microsoftin Matt Miller sanoo tämän blogitekstissä nimeltä Selvennetään pakollisen ASLR:n toimintaa :
Lyhyesti sanottuna ASLR toimii tarkoitetulla tavalla ja CERT/CC:n kuvaama konfigurointiongelma vaikuttaa vain sovelluksiin, joissa EXE ei ole jo valinnut ASLR:ään. Määritysongelma ei ole haavoittuvuus, se ei aiheuta lisäriskiä eikä heikennä sovellusten olemassa olevaa suojausasentoa.
CERT/CC havaitsi ongelman Windows Defender Exploit Guardin (WDEG) määritysliittymässä, joka tällä hetkellä estää järjestelmän laajuisen alhaalta ylös -satunnaistamisen. WDEG-tiimi tutkii tätä aktiivisesti ja käsittelee asiaa sen mukaisesti.
ASLR- tai Address Space Layout Randomizationia käytetään satunnaistamaan exe- ja DLL-tiedostojen käyttämät muistiosoitteet, jotta hyökkääjä ei voi hyödyntää muistin ylivuotoa.
Varmista, että ASLR toimii koneessasi, suorittamalla tämä (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) -apuohjelma Microsoftilta.
Käyttäjäfoorumi
0-viestit