Obnašanje ASLR v sistemu Windows 10 je značilnost: Microsoft
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Nedavno smo poročali o napaki ASLR, ki jo je odkril varnostni raziskovalec Will Dormann z univerze Carnegie Mellon.
Rekel je :
Tako EMET kot Windows Defender Exploit Guard omogočata ASLR za celoten sistem, ne da bi omogočila tudi sistemski ASLR od spodaj navzgor. Čeprav ima zaščita pred izkoriščanjem programa Windows Defender možnost za celosistemski sistem od spodaj navzgor za ASLR, privzeta vrednost GUI »Privzeto vklopljena« ne odraža osnovne vrednosti registra (nenastavljena). To povzroči, da se programi brez /DYNAMICBASE premaknejo, vendar brez entropije. Posledica tega je, da bodo takšni programi prestavljeni, vendar na isti naslov vsakič med ponovnimi zagoni in celo v različnih sistemih.
Toda v odgovoru na Dormannove trditve, Microsoftov Matt Miller pravi to v objavi na blogu z imenom Pojasnitev obnašanja obveznega ASLR :
Skratka, ASLR deluje, kot je bilo predvideno, in težava s konfiguracijo, ki jo opisuje CERT/CC, vpliva samo na aplikacije, kjer EXE še ni privolil v ASLR. Težava s konfiguracijo ni ranljivost, ne ustvarja dodatnega tveganja in ne oslabi obstoječe varnostne drže aplikacij.
CERT/CC je odkril težavo s konfiguracijskim vmesnikom Windows Defender Exploit Guard (WDEG), ki trenutno onemogoča naključno izbiro od spodaj navzgor v celotnem sistemu. Skupina WDEG to dejavno preiskuje in se bo temu primerno posvetila.
ASLR ali naključna postavitev naslovnega prostora se uporablja za naključno razvrščanje pomnilniških naslovov, ki jih uporabljajo datoteke exe in datoteke DLL, tako da napadalec ne more izkoristiti prekoračitve pomnilnika.
Če želite preveriti, ali ASLR deluje na vaši napravi, zaženite to (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) Microsoftovo pomožno orodje.
