微软补丁在开源的容器库中存在严重缺陷

微软于5月2日通知用户，Windows主机计算服务Shim库的更新修补了严重的远程代码执行漏洞。

2017年1月推出的Windows主机计算服务（后文简称：HCS）是适用于微软Hyper-V管理程序的低级容器管理API。微软已经推出了两种开源的包装器，允许用户从更高级的编程语言中直接调用HCS，而不是直接调用C API。其中一个包装器是Windows主机计算服务Shim (后文简称：hcsshim)，它支持从Go语言启动Windows服务器容器。Hcsshim主要用于Docker引擎项目，但微软表示，它也可以自由使用。

瑞士开发人员和安全研究人员Michael Hanselmann发现，当导入容器映像时，Hcsshim无法正确验证输入，从而会允许恶意角色远程执行主机操作系统上的任意代码。

“要利用此漏洞，攻击者会将恶意代码放入特制的容器映像中，如果通过身份验证的管理员导入（拉出），可能会导致使用hcsshim库的容器管理服务在Windows主机上执行恶意代码。”微软在咨询中表示。

代号为CVE-2018-8115的漏洞已被列为关键漏洞，但微软认为它不太可能被用于恶意目的，目前该问题的技术细节尚未公布。这个缺陷已经在HCS Shim 0.6.10的发布中解决了，它可以从GitHub（一个面向开源及私有软件项目的托管平台）获得。美国计算机应急小组还发布了一条警告，建议用户及时进行应用更新。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。