从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) Avast Free Antivirus AvastSvc Link Following Local Privilege Escalation Vulnerability 2. CVE ID:CVE-2024-7232 3. CVSS Score:7.8,AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 4. 受影响的厂商:Avast 5. 受影响的产品:Free Antivirus 6. 漏洞详情: - 这个漏洞允许本地攻击者在受影响的Avast Free Antivirus安装上提升权限。 - 攻击者必须首先获得在目标系统上执行低权限代码的能力。 - 漏洞存在于Avast Service中。通过创建一个符号链接,攻击者可以滥用服务来删除一个文件夹。 - 攻击者可以利用这个漏洞提升权限并在SYSTEM上下文中执行任意代码。 7. 额外详情: - 2024年1月3日,ZDI向Avast的报告团队报告了漏洞。 - 2024年2月12日和2月23日,ZDI要求更新。 - 2024年3月15日,ZDI通知供应商,由于未收到回复,将在2024年3月27日发布此案例。 - 2024年4月25日,Gen Digital团队成员表示所有安全问题应通过第三方漏洞披露计划提交。 - 2024年5月16日,ZDI将漏洞重新提交给第三方漏洞披露计划。 - 2024年6月19日,ZDI要求更新。 - 2024年7月26日,ZDI通知供应商,由于未收到回复,将在2024年7月29日发布此案例。 8. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 9. 披露时间线: - 2024年5月16日 - 漏洞报告给供应商 - 2024年7月29日 - 协调公开发布漏洞公告 - 2024年8月15日 - 公告更新 10. 信用:Nicholas Zubrisky (@NZubrisky) 和 Michael DePlante (@izobashi) 为Trend Micro的Zero Day Initiative提供了信用。