Ettevaatust: Windows rakendab ASLR-i valesti, parandus on saadaval
Sergei Tkachenko on Venemaalt pärit tarkvaraarendaja, kes alustas Winaeroga juba 2011. aastal. Selles ajaveebis kirjutab Sergei kõigest, mis on seotud Microsofti, Windowsi ja populaarse tarkvaraga. Jälgi teda Telegramm, Twitter, ja Youtube.
Tere Sergei,
Arvan, et teil on kolmandast viimasest numbripaarist (nii sellel lehel kui ka reg-allalaadimisel) puudu "0".
Teil on: "00,01,01,00,00,00,00,00,00,00,00,0,00,00"
Kas see ei peaks olema: "00,01,01,00,00,00,00,00,00,00,00,00,00,00"
Tervist
John
Ma pole kindel, kas see "parandus" ei luba kohustuslikku ASLR-i, isegi kui te seda 1709 GUI-s ei määra. See oleks halb, sest ma ei soovitaks kasutajatel niikuinii kohustuslikku ASLR-i lubada. See rikub vanad rakendused ilma palju suuremat kaitset pakkumata, kui rakendus on nagunii 32-bitine, kuna aadressiruum ei ole piisava entroopia tagamiseks piisavalt suur.
Seega on selle hoiatuse ignoreerimine ja ainult optilise ASLR-i kasutamine (ei ole kohustuslik) enamiku inimeste jaoks tõenäoliselt parim valik. Tõenäoliselt ei mõjuta see nende igapäevast arvutikogemust, kuna nad tõenäoliselt ei kasutanud kohustuslikku ASLR-i. esimene koht ja parandus võib aktiveerida kohustusliku ASLR-i lisaks sellele, et see töötab korralikult, kui see oli vaikimisi lihtsalt välja lülitatud enne.
Pidage meeles, et ASLR-i kaitsmiseks peab kaitstud rakendus olema konkreetse pahavara sihtmärgiks. Enamik inimesi peaks kartma Flashi sihitud autoga allalaadimist rohkem kui vana rakendust, mida nad kasutavad ja mis pole nii populaarne. peaks sellel rakendusel lugema nakatunud faili Internetist või nakatunud andmeid, mis on kogutud konkreetsest asukohast, mida tarkvara vaatab. See tundub mulle üsna madala riskina.
Ma arvan, et seda postitust tuleks parandada, vähemalt peaksite lisama selle:
Kogu süsteemi hõlmava kohustusliku ASLR-i lubamine Windowsis põhjustab palju vana tarkvara krahhi ja mis veelgi hullem:
Võetud MS-st
"Oma testides ilmnes probleeme tavalise kasutuse stsenaariumiga, kus ASLR-i seadistus "Alati sees" põhjustab süsteemi käivitamise ajal sinise ekraani. See juhtus seetõttu, et teatud kolmanda osapoole videodraiverite aadressiruum randomiseeriti. Neid draivereid ei ehitatud selle randomiseerimise toetamiseks ja need jooksid seejärel kokku, põhjustades ka kogu süsteemi kokkuvarisemise.
Seega võib siin avaldatud US-Cert leevendavat plaastrit rakendada ainult enne MS-i ametliku plaastri ilmumist.
Ka Windows 10 Creator Update'il (1709) on sisseehitatud Exploit Guard, nii et selle plaastri rakendamine põhjustab rohkem kahju kui turvalisus.