Майкрософт визуал: Microsoft Visual C++ 2015-2022 (14.36.32532.0) Redistributable Package — Драйверы — Новости Software
Содержание
Легко эксплуатируемая ошибка Microsoft Visual Studio позволяет разработчикам захватить контроль
Исследователи безопасности предупреждают об ошибке в установщике Microsoft Visual Studio, которая дает злоумышленникам возможность создавать и распространять вредоносные расширения среди разработчиков приложений под видом законного издателя программного обеспечения. Оттуда они могли проникнуть в среду разработки, получить контроль, отравить код, украсть ценную интеллектуальную собственность и многое другое.
Microsoft выпустила исправление для спуфинговой уязвимости, отслеживаемой как CVE-2023-28299, вместе с ежемесячным обновлением безопасности за апрель. В то время компания описала уязвимость как уязвимость средней степени серьезности и оценила ее как ошибку, которую злоумышленники вряд ли воспользуются. Но в своем блоге на этой неделе исследователи из Варониса, обнаружившие уязвимость, первоначально предложили несколько иной взгляд на ошибку и ее потенциальное влияние.
Согласно сообщению, ошибка заслуживает внимания, потому что ее легко использовать и она существует в продукте с долей рынка 26% и более чем 30 000 клиентов.
«С ошибкой пользовательского интерфейса, обнаруженной Varonis Threat Labs, злоумышленник может выдать себя за популярного издателя и выпустить вредоносное расширение, чтобы скомпрометировать целевую систему», — пишет исследователь безопасности Varonis Долор Талер. «Вредоносные расширения использовались для кражи конфиденциальной информации, бесшумного доступа и изменения кода или получения полного контроля над системой».
CVE-2023-28299: заслуживает внимания
Уязвимость, обнаруженная Варонисом, затрагивает несколько версий интегрированной среды разработки (IDE) Visual Studio — от Visual Studio 2017 до Visual Studio 2022. Уязвимость заключается в том, что любой может легко ее обойти. ограничение безопасности в Visual Studio, запрещающее пользователям вводить информацию в свойство расширения «название продукта».
Талер обнаружил, что злоумышленник может обойти этот контроль, просто открыв пакет расширения Visual Studio (VSIX) в виде ZIP-файла, а затем вручную добавив символы новой строки в тег в файле «extension.vsixmanifest». Символ новой строки — это то, что разработчики используют для обозначения конца строки текста, поэтому курсор перемещается на начало следующей строки на экране.
Талер обнаружил, что, добавив достаточное количество символов новой строки к имени расширения, злоумышленник может заставить весь остальной текст в установщике Visual Studio быть скрытым, тем самым скрывая любые предупреждения о том, что расширение не имеет цифровой подписи.
«А поскольку субъект угрозы контролирует область под именем расширения, он может легко добавить фальшивый текст «Цифровая подпись», видимый пользователю и кажущийся подлинным», — сказал Талер.
Распространение вредоносных расширений: несколько вариантов доставки
У злоумышленников есть несколько вариантов — большинство из них связано с фишингом или другой социальной инженерией — для доставки вредоносных расширений разработчикам программного обеспечения и использования их для взлома их систем, сказал Варонис.
Затем они могли бы использовать его в качестве стартовой площадки для экосистемы разработки организации и других сред с большим количеством целей.
Поставщик систем управления паролями LastPass — один из недавних примеров компании, которая столкнулась со взломом своих систем разработки в результате целенаправленной атаки на систему разработчика программного обеспечения. В этом случае злоумышленники воспользовались уязвимостью в медиаплеере, установленном на компьютере человека, для установки вредоносного ПО, что в конечном итоге дало им доступ к производственным резервным копиям LastPass.
Ор Эмануэль, директор по исследованиям и безопасности в Varonis, рассказал Dark Reading, что злоумышленники могут использовать несколько подходов, чтобы обманом заставить пользователей выполнить поддельное расширение Visual Studio. «Например, они могут обмануть пользователей, заставив их щелкнуть сообщение на сайте сообщества разработчиков, которое перенаправит их на веб-страницу для загрузки», — говорит он.
Другие пути заражения могут начинаться с фишингового письма, содержащего поддельное расширение VSIX, которое имитирует реальное, добавляет Двир Сасон, менеджер по исследованиям в области безопасности в Varonis. Или это может быть сайт, содержащий взломанное программное обеспечение, или даже опечатка известного и действительного расширения на рынке Microsoft, говорит Сэсон.
«Поскольку разработчики нацелены на срабатывают после успешной установки расширения, субъекты угрозы могут не торопиться и ждать заражения и обмена данными от зараженных систем: «Кроме того, вредоносный код потенциально может быть добавлен для автоматической компиляции и может обойти некоторые средства защиты конечных точек».
Все эти сценарии связаны с взаимодействием с пользователем. Хотя злоумышленник может относительно легко создать убедительную подделку законного расширения Visual Studio, ему необходимо будет убедить свою цель установить его. По словам Сасона, поскольку точка заражения должна включать взаимодействие с пользователем, уязвимость не считается такой критической, как уязвимость удаленного выполнения кода (RCE).
«При этом любые пользователи Visual Studio, у которых не установлена последняя версия, подвергаются риску», — добавляет Эмануэль.
Он говорит, что Varonis решил опубликовать свой бюллетень только сейчас, потому что компания хотела, чтобы у организаций было достаточно времени для обновления Visual Studio. «это одна из ведущих IDE, поэтому мы не хотели замечать злоумышленников».
python — ошибка: команда «C:\Program Files (x86)\Microsoft Visual Studio\2022\BuildTools\VC\Tools\MSVC\14.36.32532\bin\HostX86\x64\cl.exe» не выполнена с кодом выхода2
Задавать вопрос
спросил
Изменено
сегодня
Просмотрено
35 раз
, поэтому я пытался установить этот пакет Eur-Lex на Python и получил эту ошибку:
ошибка: команда 'C:\\Program Files (x86)\\Microsoft Visual Studio\\2022\\BuildTools\\VC\ \Tools\\MSVC\\14.36.32532\\bin\\HostX86\\x64\\cl.exe' не удалось с кодом выхода 2 [конец вывода] примечание: эта ошибка возникает из-за подпроцесса и, скорее всего, не связана с pip. ОШИБКА: Не удалось построить колесо для панд. Не удалось собрать панд ОШИБКА: Не удалось построить колеса для панд, что необходимо для установки проектов на основе pyproject.toml.
36.32532\\bin\\HostX86\\x64\\cl.exe' не удалось с кодом выхода 2
[конец вывода]
примечание: эта ошибка возникает из-за подпроцесса и, скорее всего, не связана с pip.
ОШИБКА: Не удалось построить колесо для панд.
Не удалось собрать панд
ОШИБКА: Не удалось построить колеса для панд, что необходимо для установки проектов на основе pyproject.toml.
Я пытался найти решение в блогах или на форумах, но это не сработало. У меня есть только базовые знания Python. Прежде всего, это была ошибка «Требуется ошибка Microsoft Visual C++ 14.0», поэтому я скачал Build Tools, и она работает. Также пытался переустановить Python после VSCode или Spyder, но не сработало.
Версия Python: 3.8.10
Любые идеи?
- python
- python-3.x
- visual-c++
Новый участник
Hervegmz — новый участник этого сайта. Будьте осторожны, запрашивая разъяснения, комментируя и отвечая.
Ознакомьтесь с нашим Кодексом поведения.
2
Hervegmz — новый участник.