文件B超-中国的VirusTotal

On 2014年10月30日, in 新闻, by code_audit_labs

by 翰海源小编 of vulnhunt Lab
    前几天,听说文件B超系统更新版本了,增加了全世界绝大部分病毒引擎,50款啊,cool . 正好手上有个病毒文件,说是最近一个热门的样本,今天正巧有空来看一看。
先将样本文件上传到b-chao.com上面。

文件处于分析中,喝点咖啡,转眼系统已经分析完成了,速度还是挺赞的。
让我们来看一看分析结果。

初步一看,这个样本果然就是恶意的,貌似危险等级还不低呢。接着再看看详细一点内容。

噢,杀毒软件检测已经有了大幅度的增加,达到40款了,病毒库的时间还都挺新的。

细细一看,我们熟悉的杀软件,几乎都能看得到,检测的效果几乎可以和VirusTotal相媲美了,非常棒。

接下来的动态行为分析,检测的效果依然强劲,行为图的关系,直观、准确地看到了病毒背后的动作,在这一点上,VirusTotal目前还是没有这个功能。
小结:
    对于我们经常下载的文件或邮件的附件,曾经可能只会到VirusTotal上面看到的多家杀软分析结果,帮助我们来进行判定,而今通过上传文件B超一个系统,就同时看到两大类不同的检测结果,更加直观地展示,易于判断。相信不久的将来,文件B超系统能够成为国内的“VirtusTotal”。
不明文件,B超照照。

Tagged with:  

一、概述
近期翰海源团队一直在持续关注着一个Botnet的演变,该Botnet从2014年8月末开始活动,一直持续到2014年10月底,截至目前该Botnet仍然存活,同时我们也在金融、IT、政府、银行等行业发现了攻击样本,翰海源提醒客户请警惕最新的Smoke Loader和Andromeda变种botnet。有任何问题可以联系翰海源团队。
Botnet使用钓鱼邮件作为主要的传播途径,邮件大多以“my new photo”或者“New offer Job”为主题,携带一个名为“photo.zip”或者“offer.zip”的压缩附件。

在监控中发现,该Botnet在9月份使用Smoke Loader 作为主要的攻击载荷,在10月份之后,该Botnet开始逐渐转变为Andromeda,这两种不同类型的Botnet具有一些十分相似的特征,但是出现在同一个较大规模的Botnet中,并不是十分常见。
Smoke Loader Botnet在2011开始一些俄语的黑客论坛公开出售,2014年3月份作者在论坛申明该程序将只针对使用“俄语”的客户出售(only for RU-speaking customers),不过在网上已经流传出了部分crack版本。

Andromeda Botnet几乎在同一时间出现,目前最新的官方版本为2.08,最初的Andromeda只针对使用俄语的客户出售,2012年作者开始将旧版本开放给使用英语的客户。

这两种Botnet均通过模块化进行安装,原始的安装程序为一个装载器,安装后将根据需要下载其他功能模块,可以窃取主机上的浏览器、FTP、邮件、即时通信工具的账户和密码,接收控制指令对指定目标发起DDos攻击。
该Botnet从8月末开始出现,9月份大量通过邮件的方式传播,从9月份开始到10月末这段时间内我们在某私有云平台上监控到的Botnet每天的活跃统计就有几百,如下图

该Botnet的控制中心主要分布在一些欧洲国家,其中主要的几个分布在乌克兰和俄罗斯境内。

二、技术细节
2.1 装载器
该Botnet使用的装载器采用微软.Net框架的C#语言编写,代码进行混淆处理,我们发现这种框架具有极好的免杀效果,如下图在9月19号捕获到的样本在VT上检测率为0:

装载器主要负责将一字节数组拷贝到一块可写可读可执行的内存区域,并将代码的控制权转交给这一字节数组:

部分装载器包含以下的pdb路径:
c:\cryptor.server\cryptors\csharp_19_09_2014_20_11_44\outdir_zjNXqqGibngG\NetThree\NetThree\obj\x86\
Release\NetThree.pdb
2.2 注入器
两种Bot均通过多次的注入来执行最终的恶意代码。
2.2.1 Smoke Loader
SmokeLoader装载器成功将控制器交给shellcode后,shellcode会首先通过注册表项:
HKLM\System\CurrentControlSet\Services\Disk\Enum
来判断是否在以下虚拟机环境中:
Virtual、VMware、 QEMU、Xen
我们发现在Andromeda 2.06的版本中也用到了同样的方法来检测虚拟机环境。
如果没有检测出虚拟机环境,则shellcode读取装载器的一段加密数据并在内存中进行解密:

解密后的数据是一个可执行文件,该文件并不会写入到磁盘上,而是通过进程注入的方式来执行。
Smoke Loader会将这段可执行文件注入到Explorer.exe进程中,注入的代码并不是最终要执行的恶意代码,而是另一个注入器,这个注入器会通过 XOR解密另一段代码并将最终的恶意代码注入到 svchost.exe进程中:

2.2.2  Andromeda
整个装载过程中,Andromeda与Smoke Loader几乎完全相同,在注入的过程中有部分不同,下图标注部分是Andromeda中的解密标记:

解密完成后shellcode将重新创建一个挂起的(SUSPEND)自身进程,然后将解密后的代码注入:

与Smoke Loader一样,到这里只是完成了第一次注入,接下来注入代码会根据当前系统的版本为32或者64位来选择注入svchost.exe或msiexec.exe。
以注入msiexec.exe为例,注入代码之前会首先创建一个挂起的msiexec.exe进程,通过文件读取msiexec.exe可执行文件到内存中,然后通过ZwUnMapViewOfSection卸载整个进程空间的数据,修改原始文件中的入口地址为恶意代码的地址,通过ZwMapViewOfSection来将代码注入到新创建的SUSPEND进程并调用ResumeThread重新启动进程。

Smoke Loader和Andromeda均会创建一个守护进程来检测指定路径下的可执行程序运行状态,一旦发现被终止会立即重启主模块。
2.3 [...]

Tagged with:  

POODLE漏洞分析

On 2014年10月16日, in 安全分析, by code_audit_labs

by Hikerell of code audit lab of vulnhunt.com
前天,翰海源团队对cve-2014-3566 poodle-attacks-on-sslv3 做了事件预警 http://blog.vulnhunt.com/index.php/2014/10/15/cve-2014-3566-poodle-attacks-on-sslv3-warning/ ,今天给大伙带来更多清晰明了的漏洞分析
一、漏洞背景
14号由Google发现的POODLE漏洞(Padding Oracle On Downloaded Legacy Encryption vulnerability),可被攻击者用来窃取采用SSL3.0版加密通信过程中的内容,又被称为“贵宾犬攻击”。虽然该攻击利用有一定的难度,需要完全控制网络流量,但在公共wifi遍地都是和强调国家之间对抗的APT背景下,该漏洞仍有不小的影响,我们的小伙伴也紧急分析了漏洞原理,poc仍在验证中,稍后放出。
二、SSLv3.0协议基础
协议协商数据
在协议握手阶段,协商的数据包括:
明文/密文分组长度:长度一般为16字节。
初始化向量IV:根据SSLv3.0协议定义的算法生成,要求随机性较高,与明文/密文分组长度相同(16字节)。
对称密钥Key:即SSLv3.0协议中定义的主密钥(the Master Secret),用于数据加密。
加密模式:常见的加密模式有多种,本漏洞本质就是SSLv3.0协议推荐的CBC加密模式可能泄露信息。
数据填充与分组
明文加密之前和密文解密之前需要分组,每个分组长度为128比特,即16字节。
对于待加密的明文数据,分组处理过程为:
(1)计算明文签名MAC(Message Authentication Code,消息验证码)序列,长度为20字节。
(2)将MAC序列附在明文数据之后组成平文(Plaintext),将Plaintext的长度填充至16字节的整数倍。
填充方式为:如果原始Plaintext长度不是16字节的整数倍,再其后附加零个、一个或多个Padding字节,再附加1个字节,其值为Padding长度;如果原始Plaintext长度正好是16字节的整数倍,则在其后附加15字节长度的Padding序列,再附加1个Padding长度,其值为15。
(3)将填充后Plaintext每16字节分为一组,称为平文块(Plaintext Block),使用符号P1 , P2 [...]

Tagged with:  

继昨天分析过CVE-2014-4114的漏洞成因:
http://blog.vulnhunt.com/index.php/2014/10/14/cve-2014-4114_sandworm-apt-windows-ole-package-inf-arbitrary-code-execution/
之后,今天翰海源团队又进一步分析了样本中携带的载荷。
1.关于UAC
我们在win7标准用户下测试发现,直接通过inf右键安装来执行会启动UAC并提示输入密码:

也就是说这种方式并不能完全ByPass UAC,不过在具有管理员权限的用户下确实可以不需要弹出UAC控制窗口,如下
在具有管理员权限的用户下选择以管理员身份运行cmd.exe:

通过INF文件右键安装启动cmd.exe

这种方式下并不会弹出UAC控制窗口,在这一点上可能还有更多的东西挖掘…

2.BlackEnergy样本分析

inf文件被安装后重命名同目录下的 slide1.gif为slide1.gif.exe 并执行。slide1.gif被修改掉了部分PE头部信息来对抗静态逆向分析,不过任然可以正常执行:

该文件实际为BlackEnergy的一个装载器,运行后将会解密并释放一个BlackEnergy模块FONTCACHE.DAT到Application Data目录
,该模块经过分析发现为最新的BlackEnergy3变种,释放后通过调用rundll32调用模块的导出函数MakeCache执行。

“BlackEnergy流通在俄罗斯的地下网络,最早能够追溯到2007年”,F-Secure最近报告指出名为“Quedagh”的组织正在使用BlackEnergy发起一系列
针对乌克兰政府的攻击,而此次0day所使用的恶意样本同样的可能来自该组织。
在CVE-2014-4114中的使用的BlackEnergy为该家族最新变种,该变种通过rundll32.exe启动执行,并将以一个lnk文件做为启动脚本写入到系统启动文件夹,
文件名基于卷序列号生成。

这个dll的代码首先申请一块内存,以0×70000000h开始,并写入解密自身的代码

解密代码重新写入0×10000000h的内存,之后才是dll的真正代码

DLL得到执行后创建名为{CD56173D-1A7D-4E99-8109-A71BB04263DF}的互斥体,然后开启一个独立线程实现恶意程序的主要的功能,主线程根据系统当前时间创建一个窗口并等待子线程发送窗口消息。
该变种会通过创建一个RPC远程过程调用(RPC over the named-pipe protocol)实现模块的通信。

子线程在内存中解密C&C并通过HTTP POST请求来通信,POST数据格式如下:

id=[BotID]&bid=ER&getpd=***

支持以下类型指令:

delete:卸载
ldplg:加载插件
unplg:卸载插件
update:更新主程序
dexec:下载并执行
exec:下载并执行
updcfg:更新插件

在内存中解密后的C&C如下:

该C&C的地理位置:

目前该C&C已经失效,但是我们注意到C&C目录经过base64编码,解码后字符串为”houseatreides94“。
我们猜测这里的House Atreides可能来源美国作家Brian Herbert所著科幻小说《Dune: House Atreides》,
其中Dune是“沙丘”的意思,也许这点正好与ISiGHT所描述的Sandworm Team所吻合。

3.安全建议
使用win7及之后系统的用户应尽量选择windows标准用户作为主要系统帐户。
4.安全排查

a. 检查系统AppData目录是否存在名为FONTCACHE.DAT的未知文件
b. 检查网络流量中是否出现上述列举的C&C请求。
5.参考资料
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.isightpartners.com/2014/10/cve-2014-4114/
http://en.wikipedia.org/wiki/Dune:_House_Atreides

Tagged with:  

CVE-2014-3566 POODLE attacks on SSLv3 预警

On 2014年10月15日, in 安全公告, by code_audit_labs

如上篇blog说到sslv3 大杀器漏洞守约来临,影响众多使用sslv3协议的站点。该漏洞由google最先发现 ,该漏洞可以被攻击者用来窃取采用了sslv3加密通信过程中的内容。
SSLV3是传输层安全协议TLS,在1996年投入使用,被许多网站、邮件服务器等其他应用服务用来做安全传输。
该漏洞可以被用来中间人攻击使用,触发条件是通信两端均使用SSLV3进行安全传输。利用场景有控制javascript执行或者wirf的控制权限,用来窃取受害者的cookie信息
具体的漏洞细节见https://www.imperialviolet.org/2014/10/14/poodle.html

处置建议

所有支持SSLV3协议的软件都受这个漏洞影响,可以通过如下的工具来检查是否支持sslv3协议
http://sourceforge.net/projects/sslscan/
https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on
在线检测页面 https://sslv3.dshield.org:444/index.html

若受影响,对于系统管理员 可以配置服务器暂时不支持sslv3协议,可以参见这里进行配置
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf
apache、ngnix 禁用sslv3
https://wiki.mozilla.org/Security/Server_Side_TLS
普通用于可以暂时配置浏览器停用SSLV3协议,具体可以参见
http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html

SNORT 检测规则

alert tcp $HOME_NET 443 -> any any (msg:”FOX-SRT – SSLv3 Server Hello Detected (Poodle)”; flow:established,to_client; [...]

Tagged with:  

SANDWORM APT Windows OLE PACKAGE 0day来袭

On 2014年10月14日, in 安全公告, by code_audit_labs

版本更新:
v1.0 2014/10/14 22:01 发布第一版
v1.1 2014/10/14 22:48 增加漏洞细节
v1.2 2014/10/15 08:50 增加了攻击演示视频
v1.3 2014/10/15 14:05 增加细节
v1.4 2014/10/15 15:50 修正个小错误

简介

下午就听说马上要发生大事了,而且是2件大事凑在了一块,令不少安全响应的朋友吓一跳,一个是据说明天发布的windows上面的sslv3出现问题比上次的心脏出血漏洞还要严重,明天各位小伙伴们可能要继续应急了。
SSLV3漏洞相关
第二个是明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,
很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

事件信息

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。
iSIGHT [...]

Tagged with:  

漏洞验证
执行如下命令
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”
如果输出如下则表明系统受影响。
vulnerable
this is a test
升级最新补丁后,执行如下命令:
env X=’() { (a)=>\’ bash -c “echo echo vuln”; [[ [...]

Tagged with:  

Defencetalk.com in watering hole attack

On 2014年09月15日, in 安全公告, 安全分析, by code_audit_labs

1. 概述
近期翰海源团队捕获到一起利用CVE-2014-0515的Flash挂马的“水坑”(watering hole)攻击事件,被挂马的网站为一国外著名军事资讯网站(www.defencetalk.com),从被挂马网站性质来看,攻击者的主要目标可能是对军事感兴趣经常上该网站的人。与常见的水坑攻击手法相同,攻击者通过将一段iframe植入该网站并使其加载一个包含漏洞利用代码的flash文件,漏洞利用成功后将会从另个一个站点下载执行伪装成php文件的恶意程序。
翰海源团队正在积极的联系Defencetalk.com的负责人,目前未得到反馈。
2. 技术分析
2.1 攻击过程概要
攻击者通过Flash挂马进行攻击,flash挂马地址为:hxxp://pomdoll.com/bbs/ips.dat,漏洞利用成功后会从hxxp://kaltravel.com/bbs/image/memos.php下载执行恶意程序,memos.php又会从hxxp://www.inewstime24.com/images/logo/default.jpg下载执行恶意程序。
2.2 漏洞利用
漏洞是由于Adobe Flash Player内部在处理Pixel Bender数据时出现的问题,具体漏洞分析参考该文章:http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Technical-Analysis-of-CVE-2014-0515-Adobe-Flash-Player-Exploit/ba-p/6482744#.VBG8zfmSyKQ

2.3 恶意程序
memos.php伪装成Intel显卡程序,并带有一个无效的数字签名。

该程序由MFC编写,编译日期为2014-07-18,程序运行后会动态解密保存在EXE文件文件中一段payload,并将控制权交给这段payload。加密的payload偏移地址位于PE头偏移0xF0的位置。

程序运行后通过动态解密payload,并调用VirtualProtect修改为可执行属性,转跳执行该段payload。该payload实际由两部分组成:shellcode和一段加密的PE文件。该shellcode利用劫持进程创建注入,创建一个挂起进程,然后将这段解密的PE注入,最后ResumeThread恢复执行。

2.4 注入代码分析
从恶意程序运行到开始执行恶意代码的这段过程没有释放任何文件,所有的操作均在内存中动态完成,目前很多的恶意程序均通过这种方式来绕过杀软的检测。
注入代码执行后会创建一个名为 Global\{A4639D29-774E-22D3-A490-00C04F6843FB} 的互斥体来标记感染主机。同时,程序中的所有字符串信息均进行了加密处理。

2.5 检测安全或调试分析软件
1) 检测调试分析软件
恶意程序会检测当前环境中是否存在以下进程,检测到后则退出不执行任何操作:。
apimonitor-x86.exe、procexp.exe、wireshark.exe、peid.exe、vmtoolsd.exe、procmon.exe、regmon.exe
如果未检测到,则开启网络行为,随机选择下面进程名中的一个并将自身拷贝到临时目录,添加开机自启动。
csrss.exe、dwm.exe、explorer.exe、iexplore.exe、lsm.exe、lsass.exe、schedsvc.exe、services.exe、smss.exe、svchost.exe、spoolsv.exe、wininit.exe、winlogon.exe、taskmgr.exe、alg.exe、sysrep.exe
2)检测安全软件
恶意程序同时会检测韩国安全软件安博士的V3Lite.exe是否存在,如果存在则尝试将其关闭。

2.6 网络通信
恶意程序运行后会通过HTTP POST发送获取的信息:

发送数据的格式为: ved=1e0f6fc1f3510003&ei=base64encode(主机名 )&usg=basement4encode(用户名)
恶意程序会接收服务端的控制指令,执行以下操作:
1)command-1:调用cmd执行指定程序
2)command-2:根据URL下载文件到Temp
3)command-3:根据URL下载并执行文件
4)command-4:下载并替换系统DLL
5)command-6:清除开机注册表启动项
6)command-7:FTP上传文件

2.7 恶意程序default.jpg动态行为效果
可以访问文件B超系统查看:
https://b-chao.com/index.php/Index/show_detail/Sha1/EBB385E1AED0F633E324DFF9B6915D41F92776EF

3. 相关C&C或恶意URL
存在攻击者黑掉正常网站用于C&C的可能:
1)http://kaltravel.com/bbs/image/memos.php
2)http://www.inewstime24.com/images/logo/default.jpg
3)http://silverlight.eu5.org/zb/bbs/user/
4)http://study.lifeonet.com/rgboard/main/
5)http://sisen.kr/asapro/common/
6)http://www.duckjin.net/Anyadmin/board/etc_board/guin_list_ok.php
7)http://www.seiwooeng.com/gallery/right_menu.php
8)http://www.webtle.net/common/lang/in.lang.php
域名信息:

pomdoll.com域名注册信息

4. 恶意文件信息
1) 挂马flash文件ips.dat
MD5: 837E56890A06F7F7A11A58441EB3D508
2) default.jpd
MD5: [...]

Tagged with:  

利用漏洞攻击来盗号游戏、IM账号猖獗
-关于CK Exploit Kit简单分析
编号:VSR-2014-24
概述
2013年9月份翰海源团队捕获到一次通过CK Exploit Kit生成的挂马页面进行的攻击。具体技术细节分见:
http://blog.vulnhunt.com/index.php/2013/09/16/xiaomaolv_come_back_cve-2013-0422/
在之后的将近一年内,CK Exploit Kit在国内的出现似乎成一个不断上升的趋势,我们分别在2014年3月和8月份,捕获到多次利用CK Exploit Kit进行挂马攻击的事件,同其他Exploit Kit一样,CK利用最新或者较新的IE、Flash、java的漏洞进行攻击,攻击者将攻击代码植入一些社区、网游、色情、赌博等网站,诱骗用户访问。这些攻击代码往往经过大量的混淆或者加密处理来绕过传统杀毒软件的检测。安全意识薄弱的普通用户,不及时更新系统和软件补丁,十分容易就沦陷为攻击者手中的“肉鸡”。
趋势
截止目前,被翰海源团队发现的利用CK Exploit Kit挂马的站点有11个(有些站点影响很广),攻击样本共7个,利用到的漏洞共有9个,相关特马100多个。下图为CK Exploit Kit在2014年出现的攻击趋势:

关于CK Exploit Kit
关于CK Exploit Kit,此前在国外已经有不少关于CK Exploit Kit的技术分析:
http://www.kahusecurity.com/2012/new-chinese-exploit-pack
http://www.cysecta.com/tag/ck-vip
从相关分析来看,CK Exploit Kit也称作NB Exploiter ,其在2010年4月发布了第一个版本,由于在样本中字符串“CKWM”和“JSCKVIP” 出现频率较高,一般被称为CK Exploit Kit。
2013年CK Exploit Kit
2013年捕获的CK样本主要使用以下几个漏洞

攻击代码架构如下

其中的html页面均通过jsckvip进行混淆,部分漏洞触发页面通过独立js文件获取变量。

2014年CK Exploit Kit
2014年,我们发现CK Exploit Kit一直在持续的更新,最近捕获的CK样本中新增了部分较新的漏洞利用代码,主要包括:

攻击代码架构更新如下

攻击代码中除了包含jsckvip的混淆外还加入另一种名为caihong vip的js混淆代码:

其中ck.swf使用了最近爆出的CVE-2014-0502漏洞,主要针对使用flash版本在11.6到12.44之间的ie浏览器用户:

xor解码shellcode后下载指定的恶意程序并执行。
ww.doc为java CVE-2011-3544的exploit程序。

木马的下载链接通过名为“dota”的变量传递给Binary.class

盗号木马针对的游戏和IM
从几次捕获的木马程序来看,CK Exploit Kit目前主要被用来盗取网游、QQ等帐户和密码,主要针对包括以下软件在内的20多款主流软件:

给游戏和IM厂家的建议
利用漏洞攻击来盗号游戏、IM账号猖獗,为保护广大用户的安全,游戏厂家和IM厂家需要特别关注此类攻击事件。同时,翰海源团队也会和 游戏厂家、IM厂家共享那些相关的威胁信息,以自家邮件地址联系  support@vulnhunt.com ,目前免费加入到这一计划中。
目前翰海源团队还和一些游戏厂家共同处置了一些真正的APT攻击事件(游戏源代码失窃事件等)。游戏厂家目前成为APT的新战场,应该考虑采用一些能够检测新型威胁(APT攻击)的技术和产品了。PS: 有任何的未知威胁或者攻击事件可先使用文件B超检测下 https://b-chao.com/ ,还可以联系 support@vulnhunt.com 和 400-086-9086 电话进行咨询和协助。
EOF

Tagged with:  

昨天是微软的“补丁星期二”(美国时间),微软照例更新了7月份的安全补丁,此更新包含IE中一个公开披露的漏洞和 25 个秘密报告的漏洞。值得关注的是,由翰海源安全专家发现的公告号为“CVE-2014-4067”的漏洞较为严重,影响到全球所有IE10及IE11等。微软安全团队再度对翰海源报告此漏洞表示感谢。
该“CVE-2014-4067” 之所以被定义为高危级别,是因为此漏洞为缓冲区溢出漏洞,成功利用该漏洞,攻击者可以远程在用户电脑上执行任意代码。
攻击者可利用此漏洞在网站上挂马,大范围传播木马,威胁用户个人隐私和财产安全,或定向攻击企业用户,盗取商业机密。
由于影响面甚广,微软修复此漏洞花了大约6个月的时间。微软安全团队在漏洞公告中对翰海源安全专家的这一发现表达了谢意。这是继翰海源安全专家四次独立发现Windows漏洞而获微软公开致谢之后,又一次受到微软这个国际软件巨头的致谢。在致谢邮件中,微软安全团队重现并确认翰海源截获的“Internet Explorer 内存损坏漏洞” (CVE-2014-4067) ,并对翰海源安全专家报告相关信息表示感谢。
附微软感谢翰海源安全专家页面链接及截图
https://technet.microsoft.com/zh-CN/library/security/ms14-051.aspx

关于南京翰海源
翰海源,作为新一代网络威胁预警领跑者,一直致力于国内网络安全事业,并与微软,HP等多家国际软件巨头展开深入的合作,是微软在中国的唯一的安全开发过程合作厂商。
附翰海源安全团队漏洞报告列表

Published: August 12, 2014
Wei Wang of VulnHunt for reporting the Internet Explorer Memory Corruption Vulnerability (CVE-2014-4067)

Published: February [...]

Tagged with: