Nummer der Sicherheitsanfälligkeit: CVE-2023-34312
Wichtigkeitsgrad: Wichtig
Wirkungsbereich: QQ 9.7.8.29039 - 9.7.8.29039 TIM 3.4.5.22071 - 3.4.7.22084
Prinzip: Die Tencent QQ-Unterkomponenten QQProtect und QQProtectEngine.dll weisen Sicherheitslücken beim Schreiben beliebiger Adressen auf. Da QQProtect.exe nicht über ASLR-Schutz (Address Space Layout Randomisation) verfügt, können Angreifer die beiden Sicherheitslücken im QQProtect.exe-Prozess kombinieren, um bösartige DLLs zu laden und die NT Authority\SYSTEM-Shell und der Angriffsprozess ist nahezu sinnlos.
Komponentenverzeichnis: ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin
Empfehlung zur Beseitigung: Es wird empfohlen, das Programm auf die neueste Version zu aktualisieren, da die Blockierung dieser Komponente zu Problemen bei der Programmkommunikation führt.
Nachtrag: "Write-What-Where" (WWW) wird häufig verwendet, um bestimmte Arten von Angriffen auf Sicherheitslücken zu beschreiben, insbesondere bei der Speicherverwaltung von Betriebssystemen. Write-What-Where" bedeutet wörtlich "Schreibe was, schreibe wohin".
Bei einer typischen "Write-What-Where"-Schwachstelle kann ein Angreifer zwei Schlüsselelemente kontrollieren:
Was geschrieben werden soll: Der Angreifer kann die spezifischen Daten kontrollieren, die in den Speicher geschrieben werden sollen.
Schreibort (Where): d.h. die Speicheradresse, an der der Angreifer die zu schreibenden Daten kontrollieren kann.
Durch Ausnutzung dieser Schwachstelle kann ein Angreifer die Art und Weise, wie ein Programm ausgeführt wird, verändern oder den Systemspeicher beschädigen, was zu ernsthaften Sicherheitsproblemen führen kann. Dies kann verschiedene schwerwiegende Folgen haben, z. B. die Ausführung von beliebigem Code, die Ausweitung von Berechtigungen usw.
[Mehr lesen]