Linuxeden开源社区
研究人员公布了惠普打印机驱动程序(三星和施乐也在使用)中一个高严重性的特权升级缺陷的技术细节,该缺陷影响到数亿台 Windows 机器。如果被利用,网络攻击者可以绕过安全产品;查看、改变、加密或删除数据;或创建具有更广泛用户权限的新账户。这个漏洞已经在系统中潜伏了 16 年,但今年才被发现。它在 CVSS 量表上的评分为 8.8(满分 10 分),属于高严重度。
据分析,该漏洞存在于驱动程序内部的一个函数中,这个函数使用strncpy 从用户输入复制一个字符串,其大小参数由用户控制。
这就是典型的缓冲区溢出,这是早些年非常流行的安全缺陷,如果采用 Rust,就不会有这样的问题。
节选自 https://linux.cn/article-13613-1.html