【漏洞预警】Microsoft Raw Image Extension 代码注入漏洞(CVE-2022-23300)

admin 2022年3月11日10:30:19安全漏洞评论272 views669字阅读2分13秒阅读模式

 01



漏洞描述





微软在Windows商店中发布“RawImage Extension”,它为RAW格式图像添加了原生查看支持。
通过安装本软件包,用户可以在Windows文件资源管理器中查看RAW文件格式的缩略图和元数据,或者在Photos应用中进行预览。这款扩展能够解码和提取RAW文件格式的EXIF元数据。
期,这款扩展被公布存在代码注入漏洞。易受攻击的组件未绑定到网络堆栈,攻击者的方法是通过该扩展的读取、写入和执行功能来执行非法操作。可通过在本地(例如:键盘、控制台)或远程(SSH)访问目标系统来利用此漏洞; 还可依靠其他人的用户交互来执行利用漏洞所需的操作(例如:欺骗合法用户打开恶意文档)。简言之,通过社会工程方法,诱使受害者从网站下载并打开特制文件,从而导致在目标系统上执行任意代码。


 02

漏洞危害



攻击者可利用原始图像扩展中的输入验证不正确的问题,诱使用户打开恶意文件,从而导致在目标系统上执行任意代码。使得攻击者在用户运行应用程序时执行恶意程序,并控制这个受影响的系统。


 03

影响范围







Raw lmage Extension


04

漏洞等级

   

   高危


 05

修复方案


补丁名称:
Microsoft Raw Image Extension 代码注入漏洞补丁
补丁链接:
https://msrc.microsoft.com/update-guide/vulnerability











END

长按识别二维码,了解更多


【漏洞预警】Microsoft Raw Image Extension 代码注入漏洞(CVE-2022-23300)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Microsoft Raw Image Extension 代码注入漏洞(CVE-2022-23300)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月11日10:30:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Microsoft Raw Image Extension 代码注入漏洞(CVE-2022-23300) http://cn-sec.com/archives/825794.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: