喷叔3连喷：火绒泄漏隐私漏洞

kfne12

其实是个很小的漏洞。因为是普通账户下用的。一般没人用普通账户。
危害约等于0点0循环.
但也确实是漏洞。

----------

听坛友说，火绒剑可以浏览管理员MM的隐私文件，比如J:\Users\adminsuper\Pictures下面MM的劲爆图片。

并且提取到自己的文件夹里。

我这里不知道是系统版本的原因还是什么原因，火绒剑做了限制，无法提取。。

（火绒剑只能提取一个ntuser.dat这种文件。不过火绒这么做我觉得也是不可取的，因为也包含个别“隐私”。但毕竟这种“隐私”没什么价值。）

那是不是就不存在问题了呢？

不是的。

我可以这么做。

1.先用火绒剑浏览出文件目录，文件名。找到要偷窥的图片，比如J:\Users\adminsuper\Pictures\mm.jpg

2.然后设置火绒提示处理，不是自动处理。然后找个木马文件名命名为d:\test\mm.jpg，

用火绒扫。火绒提示d:\test\mm.jpg木马。这时不要处理

3.然后，把这个木马所在文件夹test重命名为test2，然后，用junction这个工具（百度有下载），弄个链接文件夹，名字是d:\test

指向J:\Users\adminsuper\Pictures\

4.然后再用火绒处理，火绒隔离d:\test\mm.jpg，但是实际隔离的是J:\Users\adminsuper\Pictures\mm.jpg。

5.从隔离区把文件提取到桌面，开始欣赏MM艳照吧。。

---------

喷叔认为问题还是出在隔离文件时，没有锁定或者检查。。

裂空我爱杰

用的舒服就行了，没必要这样，，，

kfne12

裂空我爱杰 发表于 2020-2-26 16:09
用的舒服就行了，没必要这样，，，

没事瞎折腾。

闷在家里，哪都去不了。我还能干啥啊。。。

火绒工程师

您好，火绒剑的定位是系统分析、诊断、问题处置工具，和其他ARK工具一样，具有高权限。所以目前功能设计确实就是如此。您这边之前提到的，火绒隔离文件时，没有对文件进行锁定、检查的问题我们已经提交bug，争取尽快解决这个问题，感谢您的反馈~


【问题ID:21426】

zay365

火绒普通账户不用UAC就能用而且还能和服务进程交互是存在潜在风险性的。360只有服务zhudongfangyu.exe是system权限的，防护模块360tray.exe和主界面360safe.exe都是管理员权限，而且手动扫描是360safe进行的，而火绒操作都是system权限的HipsDaemon.exe进行的，HipsMain只是主界面，HipsTray只是个托盘，这两个user权限也能运行，这也是火绒手动更新和打开小工具需要uac的原因。所以说同样遇到r3层面的漏洞的话，火绒的危害比360严重。
顺便再说个智量的操作也是system权限的服务WiseVectorSvc和WiseVectorService进行的，但主程序WiseVector是要在管理员权限下运行的。

kfne12

火绒工程师 发表于 2020-2-26 16:47
您好，火绒剑的定位是系统分析、诊断、问题处置工具，和其他ARK工具一样，具有高权限。所以目前功能设计确 ...

有的av这块还是注意的。

我印象里，我用过的卡巴，360都不允许手动提权

如果你说火绒公司的标准是：

火绒允许标准账户的使用者通过界面鼠标操作手动提权到管理员或者system的话。

那我只能说火绒的标准确实和别家不太一样。。

我也没别的好说的，哈哈。。

kfne12

zay365 发表于 2020-2-26 16:49
火绒普通账户不用UAC就能用而且还能和服务进程交互是存在潜在风险性的。360只有服务zhudongfangyu.exe是sys ...

都已经管理员了，你指的漏洞是什么?是扫描一个文件溢出然后远程执行这种？

好像360的扫描进程不是用zhudongfangyu.exe的。貌似是要好一些。。

zay365

我这火绒剑是可以提取的

紫雨幻天

多大仇

代号SM18

一直都看到火绒喷友商，，，这次却被用户喷惨了。。。。。不过说得也是有理有据，，，