Pull to refresh

Comments 6

UFO just landed and posted this here
не понятно, что это за условия, если они работают от бесправного пользователя, тогда странно такое заявление (кстати а где они это заявили?) от мс
Условия есть в оригинальной работе.

Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.

Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.
Он может не позволить антивирусу узнать о загрузке исполняемого файла.

Мне всегда казалось что антивирусы в общем случае контролирует файлы в момент доступа а не в момент мапления исполняемого файла в память… В оригинальной статье Микрософт вроде тоже на это косвенно указывает: «Microsoft told EnSilo researchers that since the bug requires a targeted system to have some type of preexisting compromise it will not “fix” that type of unanticipated vulnerability». Хотя совершенно непонятно почему не хотят исправить функцию…
Как обычно. Исправят, но в тихую, чтобы не увеличивать счётчик официально признанных багов.
Sign up to leave a comment.