关键漏洞信息 CVE编号: CVE-2018-12441 漏洞类型: 不安全的权限 厂商: Corsair 受影响的产品代码库: - Corsair Utility Engine Versions 3.2.87, 3.3.103, 3.4.95, 3.6.109, 3.7.99 修复版本: Corsair Utility Engine Version 3.13.94 受影响组件: "CorsairService" 服务 攻击类型: 本地攻击 代码执行影响: True 权限提升影响: True 攻击向量: 通过滥用不安全的服务权限进行本地权限提升 披露时间线 2018年6月13日: 与厂商初始联系 2018年6月14日: 厂商认为无法修复此问题。通知厂商重新评估并已升级问题至软件团队。厂商建议咨询Microsoft关于如何管理程序权限。通知厂商问题在于服务而非应用程序。 2018年6月14日至9月11日: 发布的新软件版本仍包含此漏洞。 2018年7月3日: 通知厂商新版本软件中仍然存在漏洞。厂商通知正在解决问题。 2018年8月13日: 请求状态更新。 2018年8月14日: 通知CVE即将发布。 2018年8月16日: 通知厂商缺乏回应给人忽视的印象并公布CVE。 2018年9月12日至10月6日: 未收到通知关闭ticket。 2018年10月6日: 通知厂商已关闭ticket但需要再次审查。 2018年10月9日: 厂商通知无意更改产品并关闭ticket。 2018年10月10日: 披露。 2019年2月25日: Corsair Utility Engine Version 3.13.94发布修复。