返回

文章详情

Windows Defender 0-day 漏洞的补丁可能允许攻击者填满硬盘

Ars Technica2026年7月9日 20:52

一位发现这一漏洞的研究人员表示,微软在周三发布的补丁旨在修复其Defender安全引擎中的零日漏洞,但可能导致Windows机器写入足够大的文件,以完全占满可用的磁盘空间。RoguePlanet(跟踪编号为CVE-2026-50656)在今年6月首次引起公众关注,当时一个研究人员以用户名NightmareEclipse披露了它以及利用它的代码。该漏洞允许远程攻击者获得Windows 10和Windows 11机器的管理控制,即使在实时保护被禁用的情况下也是如此。在过去几个月中,这位匿名研究人员还公布了其他一些零日漏洞,使微软忙于开发补丁。微软在周三表示,它通过对Microsoft恶意软件防护引擎的更新修复了RoguePlanet,该引擎被Defender杀毒应用程序使用。该修复将自动下载并安装,无需用户采取任何行动。周三的更新还包括“深度防御更新,以帮助改善与安全相关的功能”。在周四的一篇文章中,NightmareEclipse表示,深度防御添加的内容产生的行为可能允许攻击者通过向硬盘写入大量数据来耗尽所有可用空间。新引入的缓解措施在与Microsoft恶意软件防护引擎关联的驱动程序mpengine.dll中造成了一个问题,在某些情况下,这会导致在尝试打开文件时泄漏8字节数据。SpyNet中的新功能(一个云服务,允许Microsoft Security Essentials或Forefront Endpoint Protection向微软发送有关可疑软件和程序的报告)也在潜在的大规模文件写入行为中起到作用。通常情况下,Defender在扫描和隔离机器时对写入磁盘的文件大小设定了严格限制。“这个实现是有道理的,因为隔离一个巨大的文件将导致Defender完全耗尽可用的磁盘空间,”该研究人员写道。“我发现了这个规则的一个小例外,显然mpengine.dll中的spynet函数确实希望保留Zone.Identifier ADS文件的本地副本,而这个文件的大小无关紧要,Windows Defender仍然会本地缓存它。”

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡