什么是“小工具漏洞”？

Question

在最近的一次安全咨询中，Microsoft警告说，“小工具中的漏洞可能允许远程代码执行”：

成功利用Gadget漏洞的攻击者可以在当前用户的上下文中运行任意代码。

(微软安全咨询2719662)

我不太明白这点。据我所知，小工具是(从设计上)基于HTML的应用程序运行完全信任！

完全信任 运行小工具的选择显示给用户的方式与运行从Internet下载的任何应用程序的选择相同。有关该小工具的作者的信息显示在一个对话框中，该对话框指示与此文件关联的风险。用户接受警告后，该小工具将以与用户登录帐户关联的所有权限运行。

(MSDN:用于Windows侧栏安全的小工具)

例如，没有什么可以阻止您添加

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell")
    shell.Run "notepad.exe"
</script> 

并从你的小工具中执行任意命令。这很管用，而且是经过设计的。

显然，它们可以完成在本地用户上下文中运行的另一个应用程序所能完成的所有任务。那么，MS安全顾问提到的“可以利用”的漏洞在哪里呢？

Answer 1

那么，“小工具漏洞”的问题在于：

小工具面临的风险与任何基于web的应用程序所面临的风险是相同的，例如中间人或代码注入。大多数web浏览器的早期版本中都存在类似的问题，但现代浏览器已经专门实现了控制，试图缓解其中的许多问题。这些控件还没有在小工具平台上实现，使它们容易受到众所周知和经过彻底讨论的攻击。 我们有你的小玩意，黑帽子。

因此，您可以看到，主要的漏洞是没有控件来限制这些小工具不受限制地运行代码。

另一个问题是：

微软表示，它发现一些Vista和Win7小工具不遵守安全的编码实践，应该被视为对运行它们的系统造成风险。

因此，运行任意代码确实是HTA的一部分，但是因为侧栏和小工具平台没有减轻它，而且非常悲观，认为所有的小工具程序员都会编写安全的代码，不会试图利用或做小工具不应该做的事情。

希望它能回答你的要求。

我仍然认为这个问题很模糊，因为你说:他们允许运行任意代码，这是模型和概念的一部分，他们并没有减轻它，那么漏洞是什么呢？它已经被利用了..。-这就是整个想法:)

我们可以询问每个漏洞和攻击，这正是问题所在--从设计上看，这是一个问题，而且并不安全，因此发现，由于没有任何缓解措施，而且您实际上能够毫无问题地运行和执行恶意代码，这些小工具有一个缺陷。

Answer 2

同意的话，小工具平台似乎不会比用户执行无签名应用程序更容易受到攻击。

为什么同样的系统级执行预防、启发式分析以及应用于应用程序的其他方法不能应用于小工具，这让我感到困惑。

这有点像微软的懒惰:这个小工具平台没有得到很高的评价，也没有得到广泛的使用(尽管它有可能提供前所未有的能力，并将web功能直接集成到桌面上)，所以他们并没有试图保护用户免受恶意小工具的攻击，而是干脆停止使用。

随着Windows、Mac和Android用户界面的发展，普通用户越来越不知道应用程序(或插件)实际上是如何做的，因此不必要的、机会主义的、甚至恶意的应用程序仍在继续。我反复讨论过小工具规范，据我所知，它并不比Chrome和FireFox所使用的插件系统更不安全。

在Gadget中执行ActiveX和Java取决于Internet中的安全设置。如果您的安全设置允许Gadget做一些事情，那么大多数这些函数也可以在插件或Java应用程序中使用。

我所读到的分析报告表明，这些漏洞已经在“大多数现代浏览器”中得到修补，但Internet显然并非如此，因为我看到的每一个Gadget漏洞都可以在IE浏览器中运行。

简而言之，ActiveX、Java和其他插件的“切换开关”风格处理是错误的。通过努力避免用户无止境的提示和取消做出知情决定的要求，微软继续让不知情或粗心的用户对恶意网络应用程序和插件敞开大门。

信任证书&安全补丁比停止该功能要好得多。

Answer 3

在我看来，我认为安全问题是一个烟幕。这些“安全问题”存在于许多载体上，如果是这样的话，这些小工具就会在Windows 8发布之初就得到解决。我的观点是，这些小工具被抛弃是因为它们是Windows 8平板电脑上的一种耗电量。这让我想起了丝带界面是如何“暴露深埋的功能”，当我认为，在现实中，微软真的是计划一个触摸界面。因此，无论微软为做某事提供了什么“借口”，我都倾向于寻找更深层次的目标。希望随着新管理层的到来，这种情况会有所改变。有没有人知道是否有可能在Windows8.1上安装某种小工具平台？谢谢!