外媒 MSPoweruser 報道 谷歌的 Project Zero 團隊發布了 Windows 10中一個高嚴重度的權限提升漏洞的概念驗證代碼。

獲悉 該漏洞涉及 splwow64.exe Windows 進程 谷歌發現一個惡意進程可以向 splwow64.exe 發送本地過程調用（LPC）消息 攻擊者可以通過該消息向 splwow64 的內存空間中的任意地址寫入一個任意值。

事實上 微軟在今年 6 月份已經修補了這個缺陷 但谷歌表示微軟的補丁是不完整的。微軟顯然已經將指針改為偏移值 這意味著仍然可以利用偏移值進行攻擊。

谷歌在今年 9 月 24 日向微軟披露了這個問題 在錯過了 11 月的周二補丁后 微軟沒有在 90 天內打上補丁 導致了谷歌向外界進行披露。

關于該漏洞的細節可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。

責任編輯：PSY