企业动态

奇安信代码安全实验室研究员为微软发现三个漏洞（CVE-2021-28445、CVE-2021-28328 和 CVE-2021-28323），其中CVE-2021-28445 是 “严重” 级别漏洞。奇安信代码安全实验室第一时间报告并协助微软修复漏洞。

北京时间2021年4月14日，微软发布了补丁更新公告以及致谢公告，公开致谢奇安信代码安全实验室研究人员。

图 微软官方致谢

漏洞概述

CVE-2021-28445 —— Windows Network File System 远程代码执行漏洞

该 ”严重“ 级别的漏洞是由 Windows NetworkFile System 组件中的输入验证不当造成的，是远程内核级的漏洞。远程认证攻击者只需发送特殊构造的请求即可在目标系统上执行任意代码。如遭成功利用，可导致易受攻击系统被完全攻陷。

CVE-2021-28328 和 CVE-2021-28323—— Windows DNS 信息泄露漏洞

CVE-2021-28328是由 Windows DNS 中应用程序数据输出过多造成的。远程认证攻击者可越权访问系统中的敏感数据。CVE-2021-28323 是由 DNS 组件中的缺陷造成的，可导致本地认证攻击者获取敏感信息。攻击者执行特殊构造的程序即可利用该漏洞，获取内存布局信息并借此执行进一步攻击。

微软已发布修复方案，用户应尽快修复。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28445

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28328

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28323

关于奇安信代码卫士

基于奇安信代码安全实验室多年的技术积累，奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。

奇安信代码卫士是一套静态应用程序安全测试系统，可检测1300多种源代码安全缺陷，支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。

奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统，通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息，帮助客户掌握开源软件资产状况， 及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，奇安信开源卫士目前可识别4000多万个开源软件版本，兼容NVD、CNNVD、CNVD等多个漏洞库。

关于奇安信代码安全实验室

奇安信代码安全实验室是奇安信集团旗下，专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。

实验室支撑国家级漏洞平台的技术工作，多次向国家信息安全漏洞库 (CNNVD) 和国家信息安全漏洞共享平台 (CNVD) 报送原创通用型漏洞信息并获得表彰；帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、ThinkPHP、以太坊、Facebook、亚马逊、IBM、SAP、NetFlix、Kubernetes、Apache基金会、腾讯、滴滴等大型厂商和机构的商用产品或开源项目发现了数百个安全缺陷和漏洞，并获得公开致谢。

目前，实验室拥有国家信息安全漏洞库（CNNVD）特聘专家一名，多名成员入选微软全球TOP安全研究者、Oracle安全纵深防御计划贡献者等精英榜单。在Pwn2Own2017世界黑客大赛上，实验室成员还曾获得Masterof Pwn破解大师冠军称号。