从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) G DATA Total Security Incorrect Permission Assignment Local Privilege Escalation Vulnerability 2. 漏洞编号:ZDI-24-1486, ZDI-CAN-22629 3. CVE编号:CVE-2024-6871 4. CVSS分数:7.0,AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 5. 受影响的厂商:G DATA 6. 受影响的产品:Total Security 7. 漏洞详情: - 本地攻击者可以利用此漏洞在受影响的G DATA Total Security安装上提升权限。 - 问题存在于自动启动任务的处理中。 - 问题源于对文件夹设置的错误权限。 - 攻击者可以利用此漏洞提升权限并以SYSTEM上下文执行任意代码。 8. 额外细节: - 2024年2月13日,ZDI向厂商报告了漏洞。 - 2024年2月14日,厂商确认收到报告。 - 2024年3月21日,厂商确认了报告的问题。 - 2024年7月18日,ZDI要求更新。 - 2024年7月18日,厂商表示修复将在2024年第四季度发布。 - 2024年10月7日,ZDI通知厂商计划发布此漏洞作为0日漏洞。 9. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2024年2月13日 - 漏洞报告给厂商。 - 2024年11月12日 - 协调公开发布漏洞公告。 - 2024年11月12日 - 更新漏洞公告。 11. 信用:Kolja Grassmann (cirosec GmbH)