谷歌送給微軟“圣誕禮物”：發(fā)現(xiàn) Win10 高嚴(yán)重度權(quán)限提升漏洞

IT之家12月25日消息 外媒 MSPoweruser 報道，谷歌的 Project Zero 團隊發(fā)布了 Windows 10 中一個高嚴(yán)重度的權(quán)限提升漏洞的概念驗證代碼。

IT之家獲悉，該漏洞涉及 splwow64.exe Windows 進程，谷歌發(fā)現(xiàn)一個惡意進程可以向 splwow64.exe 發(fā)送本地過程調(diào)用（LPC）消息，攻擊者可以通過該消息向 splwow64 的內(nèi)存空間中的任意地址寫入一個任意值。

事實上，微軟在今年 6 月份已經(jīng)修補了這個缺陷，但谷歌表示微軟的補丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值，這意味著仍然可以利用偏移值進行攻擊。

谷歌在今年 9 月 24 日向微軟披露了這個問題，在錯過了 11 月的周二補丁后，微軟沒有在 90 天內(nèi)打上補丁，導(dǎo)致了谷歌向外界進行披露。

關(guān)于該漏洞的細(xì)節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。