V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CrabAss
V2EX  ›  分享发现

百度网盘客户端 试图利用 远程代码执行漏洞 (CVE-2015-1635)

  •  1
     
  •   CrabAss · 2021-03-23 14:33:18 +08:00 · 1884 次点击
    这是一个创建于 1377 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如下图,由 ESET Internet Security 报告,目前为止只遇到过这一次。

    出现这个警告之后我又全盘查杀了一次,没有发现病毒。

    screenshot

    6 条回复    2021-03-24 09:30:33 +08:00
    0TSH60F7J2rVkg8t
        1
    0TSH60F7J2rVkg8t  
       2021-03-23 14:38:44 +08:00
    这个漏洞是 HTTP.sys 中的处理不正确,导致远程任意代码执行。漏洞涵盖所有版本的 windows 系统( https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-034 ),请确认自己已经打了最新补丁。

    至于百度触发了警报,由于本身就是 p2p 传输工具,所以可能是它主动利用,也有可能是被动利用。只要 http 连接传入的数据符合特征就可以引发漏洞。个人倾向于可能是百度盘被利用。具体真相如何还得做逆向工程才能知道。
    CrabAss
        2
    CrabAss  
    OP
       2021-03-23 14:43:06 +08:00 via Android
    @ahhui 说实话,利用一个已经在 6 年前被发现而且被封上的漏洞感觉是挺奇怪的,我看 ESET 的文案应该也暗示了被其他因素利用的可能性,但我电脑上应该是没有其他病毒的,所以应该是传入的数据触发的?
    0TSH60F7J2rVkg8t
        3
    0TSH60F7J2rVkg8t  
       2021-03-23 14:45:50 +08:00
    @CrabAss 没逆向真的不好判断。给个建议,把百度的所有文件打包发给 ESET,看看他们可不可以查查是不是误报,一般有结果应该会回复你的邮件吧?
    CrabAss
        4
    CrabAss  
    OP
       2021-03-23 15:04:02 +08:00
    @ahhui #3 我以前给 ESET 提过工单,没收到回复= =
    0TSH60F7J2rVkg8t
        5
    0TSH60F7J2rVkg8t  
       2021-03-23 15:04:46 +08:00
    @CrabAss 好吧,估计要成悬案了。
    Greatshu
        6
    Greatshu  
       2021-03-24 09:30:33 +08:00
    一个月前就有这问题了,应该是误报,阻止也不影响速度。https://v2ex.com/t/753472
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2828 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:40 · PVG 22:40 · LAX 06:40 · JFK 09:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.