Windows 10曝HTTP协议漏洞 可导致蓝屏 本月补丁已修复

声明：该文章由作者（秦如培）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

安全研究专家 Axel Souchet 今天发布个人推文，在 GitHub 的分享链接中展示了 CVE-2021-31166 漏洞的概念证明。幸运的是，在今年 5 月补丁星期二活动日发布的 KB5003173 补丁已经修复了这个 CVE 漏洞。

虽然该漏洞本身缺乏自动传播的能力，但是恶意行为者可以开发和它类似的代码来执行远程代码。执行 Souchet 的示范代码会触发蓝屏死机。推文中写道：“我为 CVE-2021-31166 ‘HTTP协议栈远程代码执行漏洞’建立了一个 PoC”。

Souchet 进一步解释：“这个错误本身发生在 http！UlpParseContentCoding 中，该函数有一个本地的 LIST_ENTRY，并将项目附加到其中。当它完成后，它把它移到 Request 结构中；但它并没有把本地列表清空。这方面的问题是，攻击者可以触发一个代码路径，释放本地列表的每一个条目，让它们在Request对象中悬空”。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/