当前位置:安全资讯 >> 全文

Windows 8及更高版本未正确应用ASLR 尚无修复方案

发布时间:2017-11-21 20:14 标签: Windows8 ASLR
分享到 0

一名卡内基梅隆大学CERT研究人员发现,微软破坏了旨在拦截代码复用攻击的地址空间布局随机化 (ASLR) 的某些用例。

卡内基梅隆大学CERT/CC漏洞分析师Will Dormann在研究为何微软的“公式编辑器”会导致Excel遭受远程代码执行(已在上周修复)时发现了这个ASLR问题。

Dormann指出,“微软Windows 8改变了系统级别强制性ASLR的实现方式。这个变化要求系统范围内启用自下而上的ASLR让强制性ASLR接收熵。启用系统范围ASLR的工具如未设置自下而上的ASLR,那么就未能正确随机化选择ASLR的可执行文件。”

不过这个bug仅影响一些应用程序:

l  使用强制性ASLR的应用程序受影响

l  使用选择性ASLR的应用程序并不受影响

l  从未使用ASLR的应用程序不受影响

CERT/CC安全公告解释称,Windows8带来的这个问题是对强制性ASLR实现的更改:“系统范围的强制性ASLR通过HKLM\System\CurrentControlSet\Control\SessionManager\Kernel\MitigationOptions二进制注册表值实现。Windows 8带来的另外一个变化是系统范围的ASLR必须启用系统范围自下而上的ASLR为强制性ASLR提供熵。”

另外一个问题存在于WindowsDefender Exploit Guard(此前是当前已遭降级的EMET),因为开发人员正是在这里选择是否使用ASLR

然而,“‘默认开启’的默认GUI值并未反映底层的注册表值(复位)。它导致没有/DYNAMICBASE的程序得以迁移,但却未获得任何熵。”

Dormann指出,系统管理员可设置一个注册表值来执行自下而上的ASLR,否则必须等待应用程序开发人员做出更改并安装更新。截至目前,微软尚未公布任何修复方案。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.theregister.co.uk/2017/11/21/microsoft_windows_8_address_space_layout_randomisation_weakness/
参与讨论,请先 登录 | 注册

用户评论