移至上方區塊 移至主內容區塊移至頁尾區塊
Header
:::
Content

資安公告

微軟修補的Visual Studio漏洞極為容易利用,恐被用於滲透開發環境
2023.06.12( 週一. )

微軟4月份例行更新修補漏洞CVE-2023-28299,它存在於Visual Studio的擴充套件安裝程式(VSIX),攻擊者一旦利用,有可能藉此對應用程式開發人員散布惡意套件。微軟當時評估此漏洞嚴重程度是中度,但現在研究人員警告,這項漏洞帶來的威脅不應輕忽。

向微軟通報上述漏洞的資安業者Varonis指出,攻擊者運用漏洞的複雜性極低,只要將VSIX檔案當作ZIP壓縮檔案開啟,手動修改extension.vsixmanifest內容,就能突破擴充套件元件名稱只有一行的限制,進而埋藏元件沒有簽章的警語,再將這種惡意套件向組織的開發人員散布,就有機會藉此掌控開發人員的電腦,而成為入侵整個組織的管道。

 
資料來源:iThome
最後更新日期: 2023-06-12
:::
Footer