ASLR-oppførsel i Windows 10 er en funksjon: Microsoft
2 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Vi har nylig rapportert om en ASLR-feil som ble oppdaget av en sikkerhetsforsker ved navn Will Dormann fra Carnegie Mellon University.
Han sa :
Både EMET og Windows Defender Exploit Guard aktiverer systemomfattende ASLR uten også å aktivere systemomfattende bottom-up ASLR. Selv om Windows Defender Exploit guard har et systemomfattende alternativ for systemomfattende bottom-up-ASLR, gjenspeiler ikke standard GUI-verdien "På som standard" den underliggende registerverdien (ikke innstilt). Dette fører til at programmer uten /DYNAMICBASE flyttes, men uten entropi. Resultatet av dette er at slike programmer vil bli flyttet, men til samme adresse hver gang på tvers av omstarter og til og med på tvers av forskjellige systemer.
Men i et svar på Dormanns påstander sier Microsofts Matt Miller dette i et blogginnlegg med navn Avklare oppførselen til obligatorisk ASLR :
Kort sagt, ASLR fungerer etter hensikten og konfigurasjonsproblemet beskrevet av CERT/CC påvirker bare applikasjoner der EXE ikke allerede melder seg på ASLR. Konfigurasjonsproblemet er ikke en sårbarhet, skaper ikke ytterligere risiko og svekker ikke den eksisterende sikkerhetsstillingen til applikasjoner.
CERT/CC identifiserte et problem med konfigurasjonsgrensesnittet til Windows Defender Exploit Guard (WDEG) som for øyeblikket forhindrer systemomfattende aktivering av randomisering nedenfra og opp. WDEG-teamet undersøker aktivt dette og vil ta opp problemet deretter.
ASLR eller Address Space Layout Randomization brukes til å randomisere minneadressene som brukes av exe-filer og DLL-filer, slik at en angriper ikke kan dra fordel av minneoverflyt.
For å bekrefte at ASLR fungerer på maskinen din, kjør denne (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) verktøy fra Microsoft.
