从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称: - (0Day) VIPRE Advanced Security Link Following Local Privilege Escalation Vulnerability 2. 漏洞编号: - ZDI-24-1010 - ZDI-CAN-22314 3. CVE编号: - CVE-2024-7239 4. CVSS分数: - 7.8 5. 受影响的厂商: - VIPRE 6. 受影响的产品: - Advanced Security 7. 漏洞详情: - 这个漏洞允许本地攻击者在受影响的VIPRE Advanced Security安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用这个漏洞。 - 特定的错误存在于Anti Malware Service中。通过创建一个符号链接,攻击者可以滥用服务来删除一个文件。攻击者可以利用这个漏洞提升权限并在SYSTEM上下文中执行任意代码。 8. 额外细节: - 2023年12月1日,ZDI向供应商提交了漏洞报告。 - 2024年1月31日,第三方漏洞披露计划标记报告为不适用且不值得奖励的提交。 - 2024年1月17日,ZDI通知供应商,奖励和赏金从未被接受,通知供应商计划将案件公布为0日漏洞。 - 2024年7月26日,ZDI通知供应商计划在2024年7月29日公布案件为0日漏洞。 9. 缓解措施: - 由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2023年12月1日 - 漏洞报告给供应商 - 2024年7月29日 - 协调公共发布漏洞公告 - 2024年8月15日 - 更新公告 11. 信用: - 匿名 这些信息提供了关于漏洞的详细描述,包括其严重性、受影响的系统和缓解措施。