外媒 MSPoweruser 報道，谷歌的 Project Zero 團(tuán)隊發(fā)布了 Windows 10 中一個高嚴(yán)重度的權(quán)限提升漏洞的概念驗證代碼。

獲悉，該漏洞涉及 splwow64.exe Windows 進(jìn)程，谷歌發(fā)現(xiàn)一個惡意進(jìn)程可以向 splwow64.exe 發(fā)送本地過程調(diào)用（LPC）消息，攻擊者可以通過該消息向 splwow64 的內(nèi)存空間中的任意地址寫入一個任意值。

事實上，微軟在今年 6 月份已經(jīng)修補(bǔ)了這個缺陷，但谷歌表示微軟的補(bǔ)丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值，這意味著仍然可以利用偏移值進(jìn)行攻擊。

谷歌在今年 9 月 24 日向微軟披露了這個問題，在錯過了 11 月的周二補(bǔ)丁后，微軟沒有在 90 天內(nèi)打上補(bǔ)丁，導(dǎo)致了谷歌向外界進(jìn)行披露。

關(guān)于該漏洞的細(xì)節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補(bǔ)該漏洞。

責(zé)任編輯：PSY