4月深信服蓝军安全研究团队向微软提交并协助修复4个漏洞

  • A+
所属分类:安全漏洞

近日,深信服安全蓝军向微软提交并协助修复了4个漏洞,其中CVE-2021-28450可以导致远程的拒绝服务攻击,而CVE-2021-28436,CVE-2021-28351,CVE-2021-28347可以导致攻击者在受害者主机上以高权限身份执行恶意代码。


北京时间2021年4月14日,微软已经针对上述漏洞发布了安全更新,并公开致谢深信服安全研究员。

4月深信服蓝军安全研究团队向微软提交并协助修复4个漏洞


漏洞概述


  • CVE-2021-28450

    Sharepoint Server中某个特定的组件无法正确的处理用户请求, 具有用户认证的攻击者可以向服务器发送多个精心构造的请求, 导致服务器计算资源被耗尽,造成拒绝服务攻击,无法提供正常服务。本地版本和Office365版本均会受到影响。


  • CVE-2021-28436

    Windows Speech Runtime是Windows上的语音服务,该组件在解析用户传入的数据时存在一个整数溢出的漏洞,利用该漏洞攻击者可以在本地高权限的进程中执行恶意代码。


  • CVE-2021-28351

    Windows Speech Runtime是Windows上的语音服务,该组件在解析用户传入的数据时存在一个类型混淆的漏洞,利用该漏洞攻击者可以在本地高权限的进程中执行恶意代码。


  • CVE-2021-28347

    Windows Speech Runtime是Windows上的语音服务,该组件在解析用户传入的数据时存在一个整数溢出的漏洞,利用该漏洞攻击者可以在本地高权限的进程中执行恶意代码。


参考链接


https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28450

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28436

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28351

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28347


关于安全蓝军

深信服安全蓝军安全研究团队正在招聘安全研究员,研究方向为二进制漏洞挖掘、攻防对抗、前瞻性攻防等。


深信服安全蓝军安全研究团队是深信服科技旗下的纯技术研究团队,专注于二进制漏洞挖掘,攻防对抗,前瞻性攻防工具预研。团队成员曾在微软、谷歌、Intel、阿里、腾讯、华为、Adobe、Oracle、联想、惠普、TP-Link等厂商或机构的产品发现了数百个安全漏洞。团队多名成员曾入选微软全球TOP安全研究者排行榜,在多个工业界国际安全和学术会议上发表演讲和论文。


如果你对以下技术内容感兴趣,赶紧发简历过来吧:

漏洞挖掘与利用】:操作系统、客户端软件、网络设备、虚拟化、重点Web组件、缓解措施研究等。

攻防对抗】:Windows域渗透、检测逃逸等。

安全工具开发】:攻防协作平台、C2研究等。

前瞻性攻防研究】:网络协议、新型攻击手法等。

······

注:工作地址为深圳。心动不如行动!不要犹豫!赶紧给 [email protected] 投简历吧!我们会在3个工作日内找到你~


深信服千里目安全实验室

4月深信服蓝军安全研究团队向微软提交并协助修复4个漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们

本文始发于微信公众号(深信服千里目安全实验室):4月深信服蓝军安全研究团队向微软提交并协助修复4个漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: