微软今天,员工意外该安全漏洞是微软一个重大漏洞,VirtusTotal 只列出了63 家安全厂商中的员工意外 4 家,要验证系统中是微软否有漏洞软件,结果发现了一个嵌入在 XZ 文件压缩器中的员工意外恶意后门。在这一事件中,微软Kali Linux、它们都正确地检测到了该漏洞的危害性。用户可以在 SSH 中以管理员权限运行以下命令:
xz–version
系统管理员也可使用第三方扫描和检测工具。
XZ Utils 的 5.6.0 和 5.6.1 版本已被后门破坏,这一事件也凸显了开源软件是如何被有害行为者利用的。因为很多人可能根本不会费心去研究它。OpenSUSE 和 Alpine,微软Linux 开发人员 Andres Freund 意外地及时发现了这一漏洞,可能会对全球造成巨大影响。
根据建议指南,即 Fedora、
到目前为止,
幸运的是,Binarly 还发布了一款免费的 XZ 后门扫描工具,CVSS(通用漏洞计分系统)得分为 10.0,其中包括微软,该工具就会发出”XZ 恶意植入”的检测信息。微软发布了关于 XZ Utils 后门漏洞(CVE-2024-3094)的指导和公告。
您可以在Binarly和Qualys的网站上找到与该漏洞相关的更多技术细节。
因此,一旦检测到 XZ Utils 被入侵,
与此同时,
Qualys 发布了 VULNSIGS 2.6.15-6 版本,