Windows Installer XML'de (WiX) iki yüksek riskli güvenlik açığı vardır. Açık kaynak kurulum araç setinin güncellenmiş sürümleri bunları kapatır. WiX kullanan herkes güncellemeleri hemen yüklemelidir.
Duyuru
WiX ile oluşturulan bir yükleyici işleve erişirse RemoveFolderEx Erişimler, sınırlı haklara sahip kullanıcılar korumalı dizinleri silebilir. İşlev, yükleme veya kaldırma sırasında dizin ağacının tamamını silmek için tasarlanmıştır. Saldırgan, kullanıcı dizininde korumalı makine düzeyinde bir dizine işaret eden bir dizin düğümü oluşturabilir: yöneticiler yükleyiciyi çalıştırdığında bu dizini siler (CVE-2024-29188, CVSS) 7.9“Risk”yüksek“).
Dosyalar WiX yükleyicilerine eklenebilir
Ayrıca, güvenli olmayan dizin kullanma C:WindowsTemp Yürütülebilir dosyaları düşük haklara sahip kullanıcılar tarafından depolamak ve yüklemek için ikili dosyalar eklenir ve bunlar daha sonra SİSTEM haklarıyla yürütülür (CVE-2024-29187, CVSS) 7.3, yüksek).
WiX Installer ile kurulum yapanlar yazılımlarını güncellemeli ve ideal olarak onunla oluşturulan kurulum paketlerini de yeniden oluşturmalıdır. WiX 3.14.1 ve 4.0.5 düzeltildi. Yeni sürüme güncellemenin birkaç yolu vardır. Bunu global olarak yapmanın en kolay yolu aramaktır.
dotnet tool install --global wix --version 4.0.5
ve yerel olarak komut aracılığıyla
dotnet new tool-manifest # if you are setting up this repo
dotnet tool install --local wix --version 4.0.5
Microsoft geliştiricilerinin WiX proje sayfasında yazdıkları gibi .Net komut satırında.
Wix projesi, Microsoft'un açık kaynak lisansı altında yayınladığı ilk projeydi ve 2004'te büyük bir heyecan yarattı. WiX, bazı sapmalardan sonra 2014'te Microsoft'un NuGet.org .Net veri havuzu sistemine girdi.
(Bilmiyorum)
Haberin Sonu
Duyuru
WiX ile oluşturulan bir yükleyici işleve erişirse RemoveFolderEx Erişimler, sınırlı haklara sahip kullanıcılar korumalı dizinleri silebilir. İşlev, yükleme veya kaldırma sırasında dizin ağacının tamamını silmek için tasarlanmıştır. Saldırgan, kullanıcı dizininde korumalı makine düzeyinde bir dizine işaret eden bir dizin düğümü oluşturabilir: yöneticiler yükleyiciyi çalıştırdığında bu dizini siler (CVE-2024-29188, CVSS) 7.9“Risk”yüksek“).
Dosyalar WiX yükleyicilerine eklenebilir
Ayrıca, güvenli olmayan dizin kullanma C:WindowsTemp Yürütülebilir dosyaları düşük haklara sahip kullanıcılar tarafından depolamak ve yüklemek için ikili dosyalar eklenir ve bunlar daha sonra SİSTEM haklarıyla yürütülür (CVE-2024-29187, CVSS) 7.3, yüksek).
WiX Installer ile kurulum yapanlar yazılımlarını güncellemeli ve ideal olarak onunla oluşturulan kurulum paketlerini de yeniden oluşturmalıdır. WiX 3.14.1 ve 4.0.5 düzeltildi. Yeni sürüme güncellemenin birkaç yolu vardır. Bunu global olarak yapmanın en kolay yolu aramaktır.
dotnet tool install --global wix --version 4.0.5
ve yerel olarak komut aracılığıyla
dotnet new tool-manifest # if you are setting up this repo
dotnet tool install --local wix --version 4.0.5
Microsoft geliştiricilerinin WiX proje sayfasında yazdıkları gibi .Net komut satırında.
Wix projesi, Microsoft'un açık kaynak lisansı altında yayınladığı ilk projeydi ve 2004'te büyük bir heyecan yarattı. WiX, bazı sapmalardan sonra 2014'te Microsoft'un NuGet.org .Net veri havuzu sistemine girdi.
(Bilmiyorum)
Haberin Sonu