trailofbits uthenticode密码学签名的验证不恰当漏洞(CVE-2023-39969)
CVE编号
CVE-2023-39969利用情况
暂无补丁情况
N/A披露时间
2023-08-10漏洞描述
uthenticode是一个用于部分验证Authenticode数字签名的跨平台库。然而,uthenticode 1.0.9版本将整个文件进行哈希而非按虚拟地址进行哈希,违反了Authenticode规范。攻击者因此可以修改二进制代码而不改变其Authenticode哈希值,使其在uthenticode的视角下看起来有效。1.0.9版本之前的uthenticode版本不受此攻击的影响,2.x系列版本也不受影响。通过设计,uthenticode不执行完整的链验证。但是,在1.0.9版本中引入的签名验证可塑性是一个意外的疏忽。2.x系列解决了该漏洞。1.0.9版本之前的版本也不受影响,但建议用户升级而不是降级。此漏洞无解决方案。解决建议
"将组件 trailofbits/uthenticode 升级至 2.0.0 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | trailofbits | uthenticode | * | Up to (excluding) 1.0.9 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-347 | 密码学签名的验证不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论