AB钱包代码安全尝试室钻研员为微软发现三个缝隙（CVE-2021-28445、CVE-2021-28328 和 CVE-2021-28323），，其中CVE-2021-28445 是 “严重” 级别缝隙。。AB钱包代码安全尝试住宅一功夫汇报并协助微软修复缝隙。。

北京功夫2021年4月14日，，微软颁布了补丁更新布告以及称谢布告，，公开称谢AB钱包代码安全尝试室钻研人员。。

图 微软官方称谢

缝隙概述

CVE-2021-28445 —— Windows Network File System 远程代码执行缝隙

该 ”严重“ 级此外缝隙是由 Windows NetworkFile System 组件中的输入验证不当造成的，，是远程内核级的缝隙。。远程认证攻击者只需发送特殊机关的要求即可在指标系统上执行肆意代码。。如遭成功利用，，可导致易受攻击系统被齐全攻下。。

CVE-2021-28328 和 CVE-2021-28323—— Windows DNS 信息泄露缝隙

CVE-2021-28328是由 Windows DNS 中利用法式数据输出过多造成的。。远程认证攻击者可越权接见系统中的敏感数据。。CVE-2021-28323 是由 DNS 组件中的缺点造成的，，可导致本地认证攻击者获取敏感信息。。攻击者执行特殊机关的法式即可利用该缝隙，，获取内存布局信息并借此执前进一步攻击。。

微软已颁布修复规划，，用户应尽快修复。。

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28445

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28328

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28323

关于AB钱包代码卫士

基于AB钱包代码安全尝试室多年的技术堆集，，AB钱包在国内率先推出了自主可控的源代码安全分析系统——AB钱包代码卫士和AB钱包开源卫士。。

AB钱包代码卫士是一套静态利用法式安全测试系统，，可检测1300多种源代码安全缺点，，支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程说话。。

AB钱包开源卫士是一套集开源软件鉴别与安全管控于一体的软件成分分析系统，，通过智能化数据网络引擎在全球领域内获取开源软件信息和缝隙信息，，援手客户把握开源软件资产情况，， 实时获取开源软件缝隙谍报，，降低由开源软件带来的安全风险，，AB钱包开源卫士目前可鉴别4000多万个开源软件版本，，兼容NVD、CNNVD、CNVD等多个缝隙库。。

关于AB钱包代码安全尝试室

AB钱包代码安全尝试室是AB钱包旗下，，专一于软件源代码安全分析技术、二进制缝隙挖掘技术钻研与开发的团队。。

尝试室支持国度级缝隙平台的技术工作，，屡次向国度信息安全缝隙库 (CNNVD) 和国度信息安全缝隙共享平台 (CNVD) 报送原创通用型缝隙信息并获得赞美；；
；援手微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、ThinkPHP、以太坊、Facebook、亚马逊、IBM、SAP、NetFlix、Kubernetes、Apache基金会、腾讯、滴滴等大型厂商和机构的商用产品或开源项目发现了数百个安全缺点和缝隙，，并获得公开称谢。。

目前，，尝试室占有国度信息安全缝隙库（CNNVD）特聘专家一名，，多名成员入选微软全球TOP安全钻研者、Oracle安全纵深防御打算贡献者等精英榜单。。在Pwn2Own2017世界黑客大赛上，，尝试室成员还曾获得Masterof Pwn破解大家冠军称号。。