最近IThome新闻报导,
10大安全软件爆漏洞,可被骇客利用对使用者发动攻击
相关新闻报导链结
其中Fortinet被揭露为CVE-2020-9290
经查都是与线上安装FortClient有关
目前均已修补漏洞,说明如下:
FortiClient安装程序DLL劫持漏洞
概要:
FortiClient在线安装程序中的多个不安全搜索路径漏洞可能使攻击者可以控制安装程序所在的目录,从而通过在该目录中上载恶意的.dll文件来执行系统上的任意代码。
影响力:
未经授权的代码执行。
受影响的产品:
适用於Windows 6.0.5及以下版本的FortiClient的FortiClientOnlineInstaller.exe(CVE-2019-5589)
适用於Windows 6.2.3及以下版本的FortiClient的FortiClientOnlineInstaller.exe(CVE-2020-9290)
适用於Windows 6.2.3及以下版本的FortiClient VPN的FortiClientVPNOnlineInstaller.exe(CVE-2020-9290)
FortiClient EMS 6.2.1及更低版本的FortiClientEMSOnlineInstaller.exe(CVE-2020-9287)
解决方案:
CVE-2019-5589:使用FortiClient for Windows在线安装程序6.0.6或更高版本
CVE-2020-9290:使用FortiClient for Windows在线安装程序6.2.4或更高版本,以及FortiClient VPN for Windows在线安装程序6.2.4或更高版本
CVE-2020-9287:使用FortiClient EMS在线安装程序6.2.2或更高版本
原厂FortiGuard的说明如下:
FortiClient installer DLL Hijacking Vulnerability
个人的建议处置方式
今天介绍步进马达,疑?昨天不是才说过马达吗?昨天的是伺服马达,今天的则是伺服马达 这两者有甚麽不一样...
let 用於宣告一个「只作用在当前区块的变数」,初始值可选择性的设定。 以 let 宣告的变数,其作...
环境安装 Python 1.1 版本与下载 Python2於2020/1/1官方宣布停止维护与更新。...
昨天看过了最上面的"using"是什麽接着看下面的"Mehod&quo...
dockerfile 中的每一个步骤都会 commit 一次,docker history 可以看 ...