谷歌送给微软 “圣诞礼物”:发现 Windows10高严重度权限提升漏洞
2023-04-18 15:47:22 时间
12月25日消息 外媒 MSPoweruser 报道,谷歌的 Project Zero 团队发布了 Windows 10 中一个高严重度的权限提升漏洞的概念验证代码。
![](https://s4.51cto.com/oss/202012/25/43ef254cff7272f41f9d332dc2939941.png)
该漏洞涉及 splwow64.exe Windows 进程,谷歌发现一个恶意进程可以向 splwow64.exe 发送本地过程调用(LPC)消息,攻击者可以通过该消息向 splwow64 的内存空间中的任意地址写入一个任意值。
事实上,微软在今年 6 月份已经修补了这个缺陷,但谷歌表示微软的补丁是不完整的。微软显然已经将指针改为偏移值,这意味着仍然可以利用偏移值进行攻击。
谷歌在今年 9 月 24 日向微软披露了这个问题,在错过了 11 月的周二补丁后,微软没有在 90 天内打上补丁,导致了谷歌向外界进行披露。
关于该漏洞的细节可以在谷歌 Project Zero 博客上找到。微软目前计划在 2021 年 1 月 12 日修补该漏洞。
相关文章
- EasyCVR对接华为iVS订阅摄像机和用户变更请求接口介绍
- 精选 | 腾讯云CDN内容加速场景有哪些?
- 模块化网络防止基于模型的多任务强化学习中的灾难性干扰
- 用搜索和注意力学习稳健的调度方法
- 用于多变量时间序列异常检测的学习图神经网络
- 助力政企自动化自然生长,华为WeAutomate RPA是怎么做到的?
- 使用腾讯轻量云搭建Fiora聊天室
- TSRC安全测试规范
- 云计算“功守道”
- 助力成本优化,腾讯全场景在离线混部系统Caelus正式开源
- Flink 利器:开源平台 StreamX 简介
- 腾讯云实践 | 一图揭秘腾讯碳中和?解决方案
- 深度学习中的轻量级网络架构总结与代码实现
- 信息系统项目管理师(高项复习笔记三)
- Adobe国际认证让科技赋能时尚
- c++该怎么学习(面试吃土记)
- 面试官问发布订阅模式是在问什么?
- 面试官:请实现一个通用函数把 callback 转成 promise
- 空中悬停、翻滚转身、成功着陆,我用强化学习「回收」了SpaceX的火箭
- 中山大学林倞解读视觉语义理解新趋势:从表达学习到知识及因果融合